Aanhef

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (4) heeft tot doel capaciteiten op het gebied van cyberbeveiliging in de hele Unie op te bouwen, de bedreigingen voor netwerk- en informatiesystemen die worden gebruikt om essentiële diensten in belangrijke sectoren aan te bieden, te beperken en de continuïteit van dergelijke diensten te waarborgen wanneer zij worden geconfronteerd met incidenten, en aldus bij te dragen tot de veiligheid van de Unie en tot de doeltreffende werking van haar economie en samenleving.

Sinds de inwerkingtreding van Richtlijn (EU) 2016/1148 is er aanzienlijke vooruitgang geboekt bij het vergroten van het niveau van digitale weerbaarheid van de Unie. Uit de evaluatie van die richtlijn is gebleken dat zij heeft gediend als katalysator voor de institutionele en regelgevende aanpak van cyberbeveiliging in de Unie, waardoor de weg is vrijgemaakt voor een significante verandering in de manier waarop deze wordt benaderd. Die richtlijn heeft gezorgd voor de voltooiing van nationale kaders voor de beveiliging van netwerk- en informatiesystemen door te voorzien in nationale strategieën voor de beveiliging van netwerk- en informatiesystemen en nationale capaciteiten vast te stellen en door regelgevende maatregelen uit te voeren die betrekking hebben op essentiële infrastructuur en entiteiten die door elke lidstaat zijn geïdentificeerd. Richtlijn (EU) 2016/1148 heeft ook bijgedragen aan de samenwerking op Unieniveau door de oprichting van de samenwerkingsgroep en het netwerk van nationale computer security incident response teams (CSIRT's). Niettegenstaande die resultaten heeft de evaluatie van Richtlijn (EU) 2016/1148 inherente tekortkomingen aan het licht gebracht die verhinderen dat de huidige en opkomende uitdagingen op het gebied van cyberbeveiliging effectief worden aangepakt met die richtlijn.

Netwerk- en informatiesystemen hebben zich ontwikkeld tot een centraal kenmerk van het dagelijks leven door de snelle digitale transformatie en de onderlinge verbondenheid van de samenleving, ook bij grensoverschrijdende uitwisselingen. Die ontwikkeling heeft geleid tot een uitbreiding van het cyberdreigingslandschap, wat nieuwe uitdagingen met zich meebrengt, die in alle lidstaten een aangepaste, gecoördineerde en innovatieve respons vereisen. Het aantal, de omvang, de complexiteit, de frequentie en de impact van incidenten nemen toe en vormen een grote bedreiging voor het functioneren van netwerk- en informatiesystemen. Daardoor kunnen incidenten de uitoefening van economische activiteiten in de interne markt belemmeren, financieel verlies veroorzaken, het vertrouwen van de gebruikers ondermijnen en grote schade toebrengen aan de economie en de samenleving van de Unie. Voor de goede werking van de interne markt zijn paraatheid en doeltreffendheid op het gebied van cyberbeveiliging daarom nu meer dan ooit van essentieel belang. Bovendien is cyberbeveiliging voor veel kritieke sectoren van essentieel belang om de digitale transformatie met succes te kunnen doorvoeren en de economische, sociale en duurzame voordelen van digitalisering ten volle te benutten.

De rechtsgrondslag voor Richtlijn (EU) 2016/1148 was artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat tot doel heeft de interne markt tot stand te brengen en te laten functioneren door de maatregelen voor de onderlinge aanpassing van de nationale regels te versterken. De cyberbeveiligingseisen die worden gesteld aan entiteiten die diensten of economisch belangrijke activiteiten verrichten, verschillen aanzienlijk van lidstaat tot lidstaat wat betreft het soort eisen, de mate van gedetailleerdheid en de wijze van toezicht. Die verschillen brengen extra kosten met zich mee en leveren problemen op voor entiteiten die goederen of diensten aanbieden over de grenzen heen. De eisen die door de ene lidstaat worden gesteld en die verschillen van of zelfs in strijd zijn met de door een andere lidstaat gestelde eisen kunnen een aanzienlijke invloed hebben op deze grensoverschrijdende activiteiten. Bovendien zal de mogelijkheid van een ontoereikend ontwerp of een ontoereikende uitvoering van de cyberbeveiligingseisen in een lidstaat waarschijnlijk gevolgen hebben op het niveau van de cyberbeveiliging in andere lidstaten, met name gezien de intensiteit van grensoverschrijdende uitwisselingen. Bij de evaluatie van Richtlijn (EU) 2016/1148 is gebleken dat de lidstaten de richtlijn op zeer uiteenlopende wijze uitvoeren, ook wat het toepassingsgebied betreft, waarvan de afbakening grotendeels aan het oordeel van de lidstaten is overgelaten. Richtlijn (EU) 2016/1148 bood de lidstaten ook een zeer ruime discretionaire bevoegdheid bij de uitvoering van de daarin vastgelegde verplichtingen inzake beveiliging en incidentenmelding. Die verplichtingen zijn daarom op nationaal niveau op aanzienlijk verschillende wijzen uitgevoerd. Er bestaan soortgelijke verschillen in de uitvoering van de bepalingen van Richtlijn (EU) 2016/1148 inzake toezicht en handhaving.

Al deze verschillen leiden tot een versnippering van de interne markt en kunnen een nadelig effect hebben op de werking ervan, wat met name gevolgen heeft voor de grensoverschrijdende dienstverlening en het niveau van de digitale weerbaarheid als gevolg van de toepassing van diverse maatregelen. Uiteindelijk kunnen die verschillen sommige lidstaten uiteindelijk meer kwetsbaar maken voor cyberdreigingen, met mogelijke overloopeffecten in de hele Unie. Deze richtlijn heeft tot doel dergelijke grote verschillen tussen de lidstaten weg te werken, met name door minimumvoorschriften vast te stellen voor de werking van een gecoördineerd regelgevingskader, door mechanismen vast te stellen voor een doeltreffende samenwerking tussen de verantwoordelijke autoriteiten in elke lidstaat, door de lijst van sectoren en activiteiten waarvoor cyberbeveiligingsverplichtingen gelden bij te werken en door te voorzien in doeltreffende voorzieningen en handhavingsmaatregelen die essentieel zijn voor de doeltreffende handhaving van deze verplichtingen. Daarom moet Richtlijn (EU) 2016/1148 worden ingetrokken en door deze richtlijn worden vervangen.

Met de intrekking van Richtlijn (EU) 2016/1148 moet het toepassingsgebied per sector worden uitgebreid tot een groter deel van de economie om de sectoren en diensten die van vitaal belang zijn voor belangrijke maatschappelijke en economische activiteiten in de interne markt, volledig te bestrijken. Meer bepaald heeft deze richtlijn tot doel de tekortkomingen te verhelpen van het onderscheid tussen aanbieders van essentiële diensten en digitaledienstverleners, dat achterhaald is gebleken, aangezien het niet het belang van de sectoren of diensten voor de maatschappelijke en economische activiteiten in de interne markt weerspiegelt.

Op grond van Richtlijn (EU) 2016/1148 waren de lidstaten verantwoordelijk voor het identificeren van de entiteiten die voldeden aan de criteria om als aanbieders van essentiële diensten te worden aangemerkt. Om de grote verschillen tussen de lidstaten in dat opzicht weg te werken en rechtszekerheid te bieden met betrekking tot de maatregelen voor het beheer van cyberbeveiligingsrisico's en de rapportageverplichtingen voor alle relevante entiteiten, moet er een uniform criterium worden vastgesteld dat bepaalt welke entiteiten binnen het toepassingsgebied van deze richtlijn vallen. Dit criterium moet bestaan uit de toepassing van een ‘size-cap’-regel, waarbij alle entiteiten die worden aangemerkt als middelgrote ondernemingen uit hoofde van artikel 2, lid 1, van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (5), of die de plafonds voor middelgrote ondernemingen als bepaald in lid 1 van dat artikel overschrijden, en die actief zijn in de sectoren en de soorten diensten of de onder deze richtlijn vallende activiteiten verrichten, binnen het toepassingsgebied van deze richtlijn vallen. De lidstaten moeten er ook voor zorgen dat bepaalde kleine ondernemingen en micro-ondernemingen, als gedefinieerd in artikel 2, leden 2 en 3, van die bijlage, die voldoen aan specifieke criteria welke wijzen op een sleutelrol voor de samenleving, de economie of bepaalde sectoren of soorten diensten, binnen het toepassingsgebied van deze richtlijn vallen.

Overheidsinstanties moeten worden uitgesloten van het toepassingsgebied van deze richtlijn indien de activiteiten van die entiteiten hoofdzakelijk worden uitgevoerd op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met die gebieden mogen echter niet worden uitgesloten van het toepassingsgebied van deze richtlijn. Voor de toepassing van deze richtlijn worden entiteiten met regelgevende bevoegdheden niet geacht activiteiten op het gebied van rechtshandhaving uit te voeren en zij worden dan ook op die grond niet uitgesloten van het toepassingsgebied van deze richtlijn. Overheidsinstanties die gezamenlijk met een derde land zijn opgericht bij een internationale overeenkomst, worden uitgesloten van het toepassingsgebied van deze richtlijn. Deze richtlijn is niet van toepassing op diplomatieke en consulaire missies van de lidstaten in derde landen of op hun netwerk- en informatiesystemen, voor zover deze systemen zich in de lokalen van de missie bevinden of voor gebruikers in een derde land worden gebruikt.

De lidstaten moeten de noodzakelijke maatregelen kunnen nemen ter bescherming van de wezenlijke belangen van nationale veiligheid, ter vrijwaring van de openbare orde en de openbare veiligheid en om de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten mogelijk te maken. Daartoe moeten de lidstaten specifieke entiteiten die activiteiten verrichten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, kunnen vrijstellen van bepaalde in deze richtlijn vastgelegde verplichtingen met betrekking tot die activiteiten. Wanneer een entiteit uitsluitend diensten verleent aan een overheidsinstantie die is uitgesloten van het toepassingsgebied van deze richtlijn, moeten de lidstaten die entiteit kunnen vrijstellen van bepaalde in deze richtlijn vastgelegde verplichtingen met betrekking tot die diensten. Voorts mag geen enkele lidstaat worden verplicht inlichtingen te verstrekken waarvan de openbaarmaking in strijd zou zijn met de wezenlijke belangen van zijn nationale veiligheid, openbare veiligheid of defensie. Er moet in die context rekening worden gehouden met Unieregels of nationale regels voor de bescherming van gerubriceerde informatie, geheimhoudingsovereenkomsten en informele geheimhoudingsovereenkomsten, zoals het verkeerslichtprotocol. Het verkeerslichtprotocol moet worden opgevat als een middel om informatie te verstrekken over eventuele beperkingen met betrekking tot de verdere verspreiding van informatie. Het wordt gebruikt in bijna alle CSIRT's en in sommige centra voor informatie-uitwisseling en -analyse.

Hoewel deze richtlijn van toepassing is op entiteiten die activiteiten verrichten op het gebied van de elektriciteitsproductie van kerncentrales, kunnen sommige van deze activiteiten verband houden met de nationale veiligheid. Indien dat het geval is, moet een lidstaat, overeenkomstig de Verdragen, zijn verantwoordelijkheid kunnen uitoefenen voor het waarborgen van de nationale veiligheid met betrekking tot die activiteiten, met inbegrip van activiteiten in de nucleaire waardeketen.

Sommige entiteiten verrichten activiteiten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, en verlenen ook vertrouwensdiensten. Verleners van vertrouwensdiensten die binnen het toepassingsgebied van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (6) vallen, moeten binnen het toepassingsgebied van deze richtlijn vallen om hetzelfde niveau van beveiligingseisen en toezicht te waarborgen als het niveau dat in die verordening was vastgesteld ten aanzien van verleners van vertrouwensdiensten. Overeenkomstig de uitsluiting van bepaalde specifieke diensten van Verordening (EU) nr. 910/2014 mag deze richtlijn niet van toepassing zijn op de verlening van vertrouwensdiensten die uitsluitend worden gebruikt binnen systemen die gesloten zijn als gevolg van nationaal recht of overeenkomsten tussen een bepaalde groep deelnemers.

Verleners van postdiensten zoals gedefinieerd in Richtlijn 97/67/EG van het Europees Parlement en de Raad (7), met inbegrip van verleners van koeriersdiensten, moeten onder deze richtlijn vallen indien zij ten minste een van de stappen in de postbestelketen verzorgen, met name het ophalen, sorteren, vervoeren en bestellen van postzendingen, met inbegrip van de ophaaldiensten, waarbij rekening moet worden gehouden met de mate waarin zij afhankelijk zijn van netwerk- en informatiesystemen. Vervoersdiensten die niet in samenhang met een van die stappen worden ondernomen, mogen niet tot de postdiensten worden gerekend.

Aangezien de cyberdreigingen steeds intenser en geavanceerder worden, moeten de lidstaten trachten te waarborgen dat entiteiten die zijn uitgesloten van het toepassingsgebied van deze richtlijn, een hoog cyberbeveiligingsniveau bereiken en moeten zij de uitvoering ondersteunen van gelijkwaardige maatregelen voor het beheer van cyberbeveiligingsrisico's die het gevoelige karakter van die entiteiten weerspiegelen.

Het Uniegegevensbeschermingsrecht en het Unieprivacyrecht is van toepassing op elke verwerking van persoonsgegevens uit hoofde van deze richtlijn. Meer bepaald doet deze richtlijn geen afbreuk aan Verordening (EU) 2016/679 van het Europees Parlement en de Raad (8) en Richtlijn 2002/58/EG van het Europees Parlement en de Raad (9). Deze richtlijn moet derhalve onder meer de taken en bevoegdheden onverlet laten van de autoriteiten die bevoegd zijn om toezicht te houden op de naleving van het toepasselijke Uniegegevensbeschermingsrecht en het Unieprivacyrecht.

Entiteiten die voor de naleving van de maatregelen voor het beheer van cyberbeveiligingsrisico's en de rapportageverplichtingen binnen het toepassingsgebied van deze richtlijn vallen, moeten worden ingedeeld in twee categorieën, essentiële entiteiten en belangrijke entiteiten, naargelang de mate waarin zij kritiek zijn door hun sector of het soort door hen verleende diensten, alsook hun omvang. In dat verband moet, in voorkomend geval, terdege rekening worden gehouden met relevante sectorale risicobeoordelingen of richtsnoeren van de bevoegde autoriteiten. De toezichts- en handhavingsregelingen voor die twee categorieën entiteiten moeten worden gedifferentieerd om te zorgen voor een billijk evenwicht tussen op risico gebaseerde eisen en verplichtingen enerzijds en de administratieve lasten die voortvloeien uit het toezicht op de naleving anderzijds.

Om te voorkomen dat entiteiten met partnerondernemingen of verbonden ondernemingen als essentiële of belangrijke entiteiten worden beschouwd wanneer dit onevenredig zou zijn, kunnen de lidstaten bij de toepassing van artikel 6, lid 2, van de bijlage bij Aanbeveling 2003/361/EG rekening houden met de mate van onafhankelijkheid welke die entiteiten ten opzichte van hun partnerondernemingen of verbonden ondernemingen genieten. Meer bepaald kunnen de lidstaten rekening houden met het feit dat een entiteit onafhankelijk is van haar partnerondernemingen of verbonden ondernemingen wat de netwerk- en informatiesystemen betreft waarvan die entiteit gebruikmaakt bij het verlenen van haar diensten en wat de diensten betreft die de entiteit verleent. Op basis daarvan kunnen de lidstaten een dergelijke entiteit in voorkomend geval beschouwen als een entiteit die niet wordt aangemerkt als een middelgrote onderneming uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, noch de plafonds voor een middelgrote onderneming als bepaald in lid 1 van dat artikel overschrijdt, indien die entiteit, rekening houdend met de mate van onafhankelijkheid die zij geniet, niet als middelgrote onderneming zou worden aangemerkt of niet zou worden geacht die plafonds te overschrijden ingeval alleen rekening zou worden gehouden met haar eigen gegevens. Dit doet geen afbreuk aan de in deze richtlijn vastgelegde verplichtingen van partnerondernemingen en verbonden ondernemingen die binnen het toepassingsgebied van deze richtlijn vallen.

De lidstaten moeten kunnen besluiten dat entiteiten die vóór de inwerkingtreding van deze richtlijn overeenkomstig Richtlijn (EU) 2016/1148 als aanbieders van essentiële diensten zijn geïdentificeerd, als essentiële entiteiten moeten worden beschouwd.

Om te zorgen voor een duidelijk overzicht van de binnen het toepassingsgebied van deze richtlijn vallende entiteiten, moeten de lidstaten een lijst opstellen van essentiële en belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Daartoe moeten de lidstaten van entiteiten verlangen dat zij de bevoegde autoriteiten ten minste de volgende informatie verstrekken: de naam, het adres en de actuele contactgegevens, waaronder de e-mailadressen, IP-bereiken en telefoonnummers van de entiteit, evenals, in voorkomend geval, de relevante sectoren en subsectoren als bedoeld in de bijlagen, alsmede, in voorkomend geval, een lijst van de lidstaten waar zij binnen het toepassingsgebied van deze richtlijn vallende diensten verlenen. Daartoe moet de Commissie, met hulp van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), onverwijld richtsnoeren en modellen bepalen met betrekking tot de verplichting om informatie in te dienen. Om het opstellen en bijwerken van de lijst van essentiële en belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen te vergemakkelijken, moeten de lidstaten nationale mechanismen kunnen instellen voor entiteiten om zich te registreren. Indien er registers bestaan op nationaal niveau, kunnen de lidstaten besluiten over passende mechanismen voor de identificatie van binnen het toepassingsgebied van deze richtlijn vallende entiteiten.

De lidstaten moeten de verantwoordelijkheid dragen om bij de Commissie ten minste het aantal essentiële en belangrijke entiteiten per sector en subsector als bedoeld in de bijlagen in te dienen, evenals relevante informatie over het aantal geïdentificeerde entiteiten, alsook de in deze richtlijn vastgestelde bepaling op basis waarvan zij zijn geïdentificeerd, en het soort diensten dat zij verrichten. De lidstaten worden aangemoedigd om informatie over essentiële en belangrijke entiteiten uit te wisselen met de Commissie evenals, in het geval van een grootschalig cyberbeveiligingsincident, relevante informatie zoals de naam van de betrokken entiteit.

De Commissie moet, in samenwerking met de samenwerkingsgroep en na raadpleging van de relevante belanghebbenden, richtsnoeren bepalen voor de toepassing van de criteria die gelden voor micro-ondernemingen en kleine ondernemingen om te beoordelen of zij binnen het toepassingsgebied van deze richtlijn vallen. De Commissie moet er tevens op toezien dat er passende begeleiding wordt geboden aan micro-ondernemingen en kleine ondernemingen die binnen het toepassingsgebied van deze richtlijn vallen. De Commissie moet in dit verband, met hulp van de lidstaten, informatie ter beschikking stellen aan micro-ondernemingen en kleine ondernemingen.

De Commissie kan richtsnoeren verstrekken om de lidstaten bij te staan bij de uitvoering van de bepalingen van deze richtlijn inzake het toepassingsgebied en bij de beoordeling van de evenredigheid van de maatregelen die uit hoofde van deze richtlijn moeten worden genomen, met name ten aanzien van entiteiten met complexe bedrijfsmodellen of werkomgevingen, waarbij een entiteit tegelijkertijd kan voldoen aan de criteria voor essentiële en belangrijke entiteiten of tegelijkertijd activiteiten kan verrichten waarvan sommige binnen het toepassingsgebied van deze richtlijn vallen en sommige ervan uitgesloten zijn.

In deze richtlijn wordt voor de binnen het toepassingsgebied ervan vallende sectoren het basisniveau vastgesteld voor de maatregelen voor het beheer van cyberbeveiligingsrisico's en de rapportageverplichtingen. Om versnippering van de cyberbeveiligingsbepalingen van rechtshandelingen van de Unie te voorkomen, moet de Commissie, wanneer verdere sectorspecifieke rechtshandelingen van de Unie met betrekking tot maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen noodzakelijk worden geacht om een hoog niveau van cyberbeveiliging in de Unie te waarborgen, beoordelen of dergelijke verdere bepalingen kunnen worden vastgesteld in een uitvoeringshandeling uit hoofde van deze richtlijn. Mocht een dergelijke uitvoeringshandeling niet geschikt zijn voor dat doel, kunnen sectorspecifieke rechtshandelingen van de Unie bijdragen tot het waarborgen van een hoog niveau van cyberbeveiliging in de Unie, waarbij ten volle rekening wordt gehouden met de specifieke kenmerken en complexiteit van de betrokken sectoren. Met het oog daarop vormt deze richtlijn geen beletsel voor de vaststelling van verdere sectorspecifieke rechtshandelingen van de Unie met betrekking tot maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen waarin terdege rekening wordt gehouden met de noodzaak van een alomvattend en samenhangend kader voor cyberbeveiliging. Deze richtlijn laat de bestaande uitvoeringsbevoegdheden die aan de Commissie zijn verleend in een aantal sectoren, waaronder vervoer en energie, onverlet.

Wanneer een sectorspecifieke rechtshandeling van de Unie bepalingen bevat op grond waarvan essentiële of belangrijke entiteiten maatregelen voor het beheer van cyberbeveiligingsrisico's moeten nemen of significante incidenten moeten melden en wanneer die eisen ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde verplichtingen, moeten die bepalingen, onder meer inzake toezicht en handhaving, van toepassing zijn op die entiteiten. Indien een sectorspecifieke rechtshandeling van de Unie niet op alle entiteiten in een specifieke sector betrekking heeft die binnen het toepassingsgebied van deze richtlijn valt, moeten de relevante bepalingen van deze richtlijn van toepassing blijven op de entiteiten waarop die handeling geen betrekking heeft.

Wanneer bepalingen van een sectorspecifieke rechtshandeling van de Unie essentiële of belangrijke entiteiten verplichten te voldoen aan rapportageverplichtingen die ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde rapportageverplichtingen, moet de samenhang en doeltreffendheid van de behandeling van meldingen van incidenten worden gewaarborgd. Daartoe moeten de met meldingen van incidenten verband houdende bepalingen van de sectorspecifieke rechtshandeling van de Unie voor de CSIRT's, de bevoegde autoriteiten of de centrale contactpunten voor cyberbeveiliging (centrale contactpunten) uit hoofde van deze richtlijn voorzien in onmiddellijke toegang tot de overeenkomstig de sectorspecifieke rechtshandeling van de Unie ingediende meldingen van incidenten. Deze onmiddellijke toegang kan met name worden gewaarborgd indien meldingen van incidenten onverwijld worden doorgestuurd naar de CSIRT, de bevoegde autoriteit of het centrale contactpunt uit hoofde van deze richtlijn. In voorkomend geval moeten de lidstaten een mechanisme voor automatische en rechtstreekse rapportage opzetten dat ervoor zorgt dat informatie met betrekking tot de behandeling van dergelijke meldingen van incidenten systematisch en onmiddellijk wordt uitgewisseld met de CSIRT's, de bevoegde autoriteiten of de centrale contactpunten. Om de rapportage en de toepassing van het mechanisme voor automatische en rechtstreekse rapportage te vereenvoudigen kunnen de lidstaten, overeenkomstig de sectorspecifieke rechtshandeling van de Unie, gebruikmaken van één centraal contactpunt.

In de sectorspecifieke rechtshandelingen van de Unie die voorzien in maatregelen voor het beheer van cyberbeveiligingsrisico's of rapportageverplichtingen die ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde maatregelen en verplichtingen, kan worden vastgelegd dat de in uit hoofde van die handelingen bevoegde autoriteiten hun toezichts- en handhavingsbevoegdheden met betrekking tot die maatregelen of verplichtingen uitoefenen met hulp van de uit hoofde van deze richtlijn bevoegde autoriteiten. Daartoe kunnen de betrokken bevoegde autoriteiten samenwerkingsregelingen treffen. In dergelijke samenwerkingsregelingen kunnen onder meer de procedures voor de coördinatie van toezichtsactiviteiten worden omschreven, met inbegrip van de procedures voor onderzoeken en inspecties ter plaatse overeenkomstig het nationale recht, en die voor een mechanisme voor de uitwisseling van relevante informatie over toezicht en handhaving tussen de bevoegde autoriteiten, met inbegrip van verzoeken van de uit hoofde van deze richtlijn bevoegde autoriteiten om toegang tot cybergerelateerde informatie.

Wanneer sectorspecifieke rechtshandelingen van de Unie entiteiten verplichten of stimuleren om significante cyberdreigingen te melden, moeten de lidstaten ook de uitwisseling van informatie over significante cyberdreigingen met de CSIRT's, de bevoegde autoriteiten of de centrale contactpunten uit hoofde van deze richtlijn bevorderen om die organen beter bewust te maken van het cyberdreigingslandschap en hen in staat te stellen doeltreffend en tijdig te reageren indien significante cyberdreigingen tot incidenten leiden.

Toekomstige sectorspecifieke rechtshandelingen van de Unie moeten terdege rekening houden met de definities en het kader voor toezicht en handhaving van deze richtlijn.

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (10) moet worden beschouwd als een sectorspecifieke rechtshandeling van de Unie met betrekking tot deze richtlijn voor wat financiële entiteiten betreft. De bepalingen van Verordening (EU) 2022/2554 betreffende risicobeheer op het gebied van informatie- en communicatietechnologie (ICT), het beheer van ICT-gerelateerde incidenten en met name de rapportage van grote ICT-gerelateerde incidenten, alsmede betreffende digitale operationele weerbaarheidstests, informatie-uitwisselingsregelingen en risico van derden op het gebied van ICT, moeten van toepassing zijn in plaats van de bepalingen van deze richtlijn. De lidstaten mogen de bepalingen van deze richtlijn betreffende de verplichtingen inzake risicobeheer en rapportage op het gebied van cyberbeveiliging, toezicht en handhaving dan ook niet toepassen op financiële entiteiten die onder Verordening (EU) 2022/2554 vallen. Tegelijkertijd is het van belang een sterke relatie en de uitwisseling van informatie met de financiële sector uit hoofde van deze richtlijn in stand te houden. Daartoe biedt Verordening (EU) 2022/2554 de Europese toezichthoudende autoriteiten (ETA's) en de uit hoofde van die verordening bevoegde autoriteit en de mogelijkheid deel te nemen aan de activiteiten van de samenwerkingsgroep en informatie uit te wisselen en samen te werken met de centrale contactpunten en met de CSIRT's en de uit hoofde van die richtlijn bevoegde autoriteiten. De uit hoofde van Verordening (EU) 2022/2554 bevoegde autoriteiten moeten de details van grote ICT-gerelateerde incidenten en significante cyberdreigingen ook doorgeven aan de CSIRT's, de bevoegde autoriteiten of de centrale contactpunten uit hoofde van deze richtlijn. Dit is haalbaar door te voorzien in onmiddellijke toegang en erin te voorzien dat meldingen van incidenten rechtstreeks worden doorgestuurd, of door middel van één centraal contactpunt voor de melding van incidenten. Bovendien moeten de lidstaten de financiële sector blijven opnemen in hun cyberbeveiligingsstrategieën en kunnen de CSIRT's de financiële sector bij hun activiteiten betrekken.

Om lacunes in of overlappingen van de cyberbeveiligingsverplichtingen voor entiteiten in de luchtvaartsector te vermijden, moeten de nationale autoriteiten uit hoofde van de Verordeningen (EG) nr. 300/2008(11) en (EU) 2018/1139(12) van het Europees Parlement en de Raad en de uit hoofde van deze richtlijn bevoegde autoriteiten samenwerken bij de uitvoering van maatregelen voor het beheer van cyberbeveiligingsrisico's en het toezicht op de naleving van die maatregelen op nationaal niveau. De naleving door een entiteit van de beveiligingseisen die zijn vastgelegd in de Verordeningen (EG) nr. 300/2008 en (EU) 2018/1139 en in de relevante gedelegeerde en uitvoeringshandelingen die krachtens die verordeningen zijn vastgesteld, kan door de uit hoofde van deze richtlijn bevoegde autoriteiten worden geacht tot naleving van de overeenkomstige eisen van deze richtlijn te dienen.

Gezien de onderlinge verbanden tussen cyberbeveiliging en de fysieke beveiliging van entiteiten moet een coherente aanpak worden gewaarborgd tussen Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad (13) en deze richtlijn. Daartoe moeten entiteiten die uit hoofde van Richtlijn (EU) 2022/2557 als kritieke identiteiten worden aangemerkt als essentiële entiteiten uit hoofde van deze richtlijn worden beschouwd. Bovendien moet elke lidstaat ervoor zorgen dat zijn nationale cyberbeveiligingsstrategie voorziet in een beleidskader voor een betere coördinatie binnen die lidstaat tussen zijn uit hoofde van deze richtlijn bevoegde autoriteiten en die uit hoofde van Richtlijn (EU) 2022/2557 in de context van de uitwisseling van informatie over risico's, cyberdreigingen en incidenten alsook over niet-cyberrisico's, -dreigingen en -incidenten, evenals de uitoefening van toezichthoudende taken. De uit hoofde van deze richtlijn bevoegde autoriteiten en die uit hoofde van Richtlijn (EU) 2022/2557 moeten zonder onnodige vertraging samenwerken en informatie uitwisselen, met name met betrekking tot de identificatie van kritieke entiteiten, risico's, cyberdreigingen, en incidenten en niet-cyberrisico's, -dreigingen en -incidenten die kritieke entiteiten treffen, met inbegrip van door kritieke entiteiten genomen maatregelen op het gebied van cyberbeveiliging en fysieke maatregelen, evenals de resultaten van toezichtsactiviteiten met betrekking tot die entiteiten. Om de toezichtsactiviteiten tussen de uit hoofde van deze richtlijn bevoegde autoriteiten en die uit hoofde van Richtlijn (EU) 2022/2557 te stroomlijnen en om de administratieve lasten voor de betrokken entiteiten tot een minimum te beperken, moeten die bevoegde autoriteiten ernaar streven de modellen voor de melding van incidenten en de toezichtsprocessen te harmoniseren. In voorkomend geval moeten de uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten de uit hoofde van deze richtlijn bevoegde autoriteiten kunnen verzoeken hun toezichts- en handhavingsbevoegdheden uit te oefenen met betrekking tot een entiteit die is aangemerkt als een kritieke entiteit uit hoofde van Richtlijn (EU) 2022/2557. Daartoe moeten de uit hoofde van deze richtlijn bevoegde autoriteiten en die uit hoofde van Richtlijn (EU) 2022/2557, indien mogelijk in realtime, samenwerken en informatie uitwisselen.

Tot de digitale-infrastructuursector behorende entiteiten zijn in wezen gebaseerd op netwerk- en informatiesystemen en daarom moeten de hun uit hoofde van deze richtlijn opgelegde verplichtingen op een omvattende manier betrekking hebben op de fysieke beveiliging van dergelijke systemen in het kader van hun maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen. Aangezien die aangelegenheden onder deze richtlijn vallen, zijn de verplichtingen van de hoofdstukken III, IV en VI van Richtlijn (EU) 2022/2557 niet van toepassing op dergelijke entiteiten.

Het ondersteunen en instandhouden van een betrouwbaar, weerbaar en beveiligd domeinnaamsysteem (DNS) zijn sleutelfactoren voor het behoud van de integriteit van het internet en zijn essentieel voor de continue en stabiele werking ervan, waarvan de digitale economie en samenleving afhankelijk zijn. Daarom moet deze richtlijn van toepassing zijn op registers voor topleveldomeinnamen en DNS-dienstverleners die moeten worden opgevat als entiteiten die openbare recursieve domeinnaamomzettingsdiensten verlenen aan interneteindgebruikers of gezaghebbende domeinnaamomzettingsdiensten voor gebruik door derden. Deze richtlijn mag niet van toepassing zijn op root-naamservers.

Cloudcomputingdiensten moeten digitale diensten omvatten die beheer op verzoek en brede toegang op afstand (‘broad remote access’) tot een schaalbare en elastische pool van deelbare computercapaciteit mogelijk maken, ook wanneer deze over verschillende locaties is gedistribueerd. Computercapaciteit omvat middelen zoals netwerken, servers of andere infrastructuur, besturingssystemen, software, opslag, toepassingen en diensten. De dienstmodellen van cloudcomputing omvatten onder meer infrastructuur als dienst (‘Infrastructure as a Service’ — IaaS), platform als dienst (‘Platform as a Service’ — PaaS), software als dienst (‘Software as a Service’ — SaaS) en netwerk als dienst (‘Network as a Service’ — NaaS). De invoeringsmodellen van cloudcomputing moeten private, gemeenschaps-, publieke en hybride cloud omvatten. De dienst- en invoeringsmodellen van cloudcomputing hebben dezelfde betekenis als de in de ISO/IEC 17788:2014-norm gedefinieerde benamingen van dienst- en invoeringsmodellen. Het vermogen van de cloudcomputinggebruiker om eenzijdig zelfvoorzienend te zijn, bijvoorbeeld wat servertijd of netwerkopslag betreft, zonder enige menselijke interactie door de cloudcomputingdienstverlener, zou kunnen worden omschreven als beheer op verzoek. De term ‘brede toegang op afstand’ wordt gebruikt om te beschrijven dat de cloudcapaciteiten via het netwerk worden aangeboden en toegankelijk zijn via mechanismen die het gebruik van heterogene thin- of thick-client-platforms bevorderen, waaronder mobiele telefoons, tablets, laptops en werkstations. De term ‘schaalbaar’ verwijst naar de computercapaciteit die, ongeacht de geografische locatie van de capaciteit, op flexibele wijze door aanbieders van cloudcomputingdiensten wordt toegewezen teneinde schommelingen in de vraag te kunnen opvangen. De term ‘elastische pool’ wordt gebruikt ter beschrijving van de computercapaciteit die, afhankelijk van de vraag, ter beschikking wordt gesteld en wordt vrijgegeven teneinde deze beschikbare capaciteit snel te kunnen verhogen en verlagen naargelang van het werkvolume. De term ‘deelbaar’ wordt gebruikt ter beschrijving van de computercapaciteit die ter beschikking wordt gesteld van meerdere gebruikers die een gemeenschappelijke toegang tot de dienst hebben, maar waarbij de verwerking voor elke gebruiker afzonderlijk plaatsvindt, hoewel de dienst door middel van dezelfde elektronische uitrusting wordt verleend. De term ‘gedistribueerd’ wordt gebruikt ter beschrijving van de computercapaciteit die zich op verschillende netwerkcomputers of -apparaten bevindt en waarbij onderlinge communicatie en aansturing plaatsvindt door middel van het doorgeven van berichten.

Gezien de opkomst van innovatieve technologieën en nieuwe bedrijfsmodellen wordt verwacht dat er nieuwe dienst- en invoeringsmodellen voor cloudcomputing op de interne markt zullen verschijnen om in te spelen op de veranderende behoeften van klanten. In die context kunnen cloudcomputingdiensten in een sterk gedistribueerde vorm worden verleend, nog dichter bij de plaats waar de gegevens worden gegenereerd of verzameld, waardoor de overstap wordt gemaakt van het traditionele model naar een sterk gedistribueerd model (‘edge computing’).

Diensten die worden aangeboden door aanbieders van datacentrumdiensten kunnen niet altijd in de vorm van een cloudcomputingdienst worden verleend. Datacentra maken dan ook niet altijd deel uit van cloudcomputinginfrastructuur. Om alle risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, moet deze richtlijn dan ook van toepassing zijn op aanbieders van datacentrumdiensten die geen cloudcomputingdiensten zijn. Voor de toepassing van deze richtlijn moet de term ‘datacentrumdienst’ betrekking hebben op de verlening van een dienst die structuren of groepen van structuren omvat die bestemd zijn voor de gecentraliseerde accommodatie, de interconnectie en de exploitatie van informatietechnologie (IT) en netwerkapparatuur die diensten op het gebied van gegevensopslag, -verwerking en -transport aanbiedt, samen met alle faciliteiten en infrastructuur voor energiedistributie en omgevingscontrole. De term ‘datacentrumdienst’ mag niet gelden voor interne bedrijfsdatacentra die eigendom zijn van en geëxploiteerd worden door de betrokken entiteit, voor eigen doeleinden.

Onderzoeksactiviteiten spelen een sleutelrol bij de ontwikkeling van nieuwe producten en processen. Veel van die activiteiten worden verricht door entiteiten die de resultaten van hun onderzoek delen, verspreiden of exploiteren voor commerciële doeleinden. Die entiteiten kunnen dan ook belangrijke spelers in de waardeketens zijn, zodat de beveiliging van hun netwerk- en informatiesystemen integraal deel uitmaakt van de algemene cyberbeveiliging van de interne markt. Onder onderzoeksorganisaties moeten ook entiteiten worden verstaan die het wezenlijk deel van hun activiteiten richten op toegepast onderzoek of experimentele ontwikkeling in de zin van het ‘Frascati Manual 2015: Guidelines for Collecting and Reporting Data on Research and Experimental Development’ van de Organisatie voor Economische Samenwerking en Ontwikkeling, om hun resultaten te exploiteren voor commerciële doeleinden, zoals de vervaardiging of ontwikkeling van een product of een proces, de verlening van een dienst, of het in de handel brengen daarvan.

De toenemende onderlinge afhankelijkheid is het resultaat van een steeds meer grensoverschrijdend en onderling afhankelijk dienstverleningsnetwerk waarin gebruik wordt gemaakt van essentiële infrastructuren in de hele Unie in sectoren zoals energie, vervoer, digitale infrastructuur, drinkwater en afvalwater, gezondheid, bepaalde aspecten van het overheidsbestuur, en ruimtevaart, voor zover het gaat om de verlening van bepaalde diensten die afhankelijk zijn van grondgebonden infrastructuren die eigendom zijn van, beheerd worden en geëxploiteerd worden door de lidstaten of door particuliere partijen, en die dus geen betrekking hebben op infrastructuren die eigendom zijn van, beheerd worden of geëxploiteerd worden door of namens de Unie in het kader van haar ruimtevaartprogramma. Die onderlinge afhankelijkheid houdt in dat elke verstoring, zelfs wanneer deze aanvankelijk beperkt blijft tot één entiteit of één sector, meer in het algemeen een cascade-effect kan hebben, met mogelijkerwijs verstrekkende en langdurige negatieve gevolgen voor de verlening van diensten op de hele interne markt. De tijdens de COVID-19-pandemie toegenomen cyberaanvallen hebben de kwetsbaarheid van onze steeds meer onderling afhankelijke samenlevingen voor de risico's van lage waarschijnlijkheid aangetoond.

Gezien de verschillen tussen de nationale governancestructuren en om de reeds bestaande sectorale regelingen of toezichts- en regelgevingsorganen van de Unie te vrijwaren, moeten de lidstaten een of meer bevoegde autoriteiten kunnen aanwijzen of oprichten die verantwoordelijk zijn voor cyberbeveiliging en voor de toezichthoudende taken uit hoofde van deze richtlijn.

Om de grensoverschrijdende samenwerking en communicatie tussen de autoriteiten te vergemakkelijken en een doeltreffende uitvoering van deze richtlijn mogelijk te maken, moet elke lidstaat een centraal contactpunt aanwijzen dat verantwoordelijk is voor de coördinatie van kwesties in verband met de beveiliging van de netwerk- en informatiesystemen en de grensoverschrijdende samenwerking op het niveau van de Unie.

De centrale contactpunten moeten doeltreffende grensoverschrijdende samenwerking met de relevante autoriteiten van andere lidstaten en, in voorkomend geval, met de Commissie en Enisa waarborgen. De centrale contactpunten moeten daarom worden belast met het doorsturen van meldingen van significante incidenten met grensoverschrijdende gevolgen naar de centrale contactpunten van andere betrokken lidstaten op verzoek van het CSIRT of de bevoegde autoriteit. Op nationaal niveau moeten de centrale contactpunten vlotte sectoroverschrijdende samenwerking met andere bevoegde autoriteiten mogelijk maken. De centrale contactpunten kunnen ook de geadresseerden zijn van relevante informatie over incidenten met betrekking tot financiële entiteiten van de uit hoofde van Verordening (EU) 2022/2554 bevoegde autoriteiten, die zij in voorkomend geval moeten kunnen doorsturen naar de CSIRT's of de uit hoofde van deze richtlijn bevoegde autoriteiten.

De lidstaten moeten, wat zowel de technische als de organisatorische mogelijkheden betreft, adequaat worden uitgerust om incidenten en risico's te voorkomen, op te sporen, erop te reageren, ervan te herstellen en te beperken. De lidstaten moeten daarom een of meer CSIRT's instellen of aanwijzen uit hoofde van deze richtlijn en ervoor zorgen dat zij over voldoende middelen en technische capaciteiten beschikken. De CSIRT's moeten voldoen aan de in deze richtlijn vastgestelde eisen om te garanderen dat zij over doeltreffende en compatibele capaciteiten beschikken om incidenten en risico's aan te pakken en om een efficiënte samenwerking op het niveau van de Unie te waarborgen. De lidstaten moeten bestaande computercrisisresponsteams (‘computer emergency response teams’ — CERT's) kunnen aanwijzen als CSIRT's. Om de vertrouwensrelatie tussen de entiteiten en de CSIRT's te versterken, moeten de lidstaten, indien een CSIRT deel uitmaakt van een bevoegde autoriteit, een functionele scheiding kunnen overwegen tussen de operationele taken van de CSIRT's, met name met betrekking tot de aan de entiteiten verleende informatie-uitwisseling en bijstand, en de toezichtsactiviteiten van de bevoegde autoriteiten.

De CSIRT's zijn belast met de behandeling van incidenten. Dit omvat de verwerking van grote hoeveelheden van soms gevoelige gegevens. De lidstaten moeten ervoor zorgen dat de CSIRT's beschikken over een infrastructuur voor het delen en verwerken van informatie, alsook over goed toegerust personeel, zodat de vertrouwelijkheid en betrouwbaarheid van hun activiteiten wordt gewaarborgd. De CSIRT's kunnen in dit verband ook een gedragscode vaststellen.

Aangaande de persoonsgegevens moeten de CSIRT's overeenkomstig Verordening (EU) 2016/679 op verzoek van een essentiële of belangrijke entiteit een proactieve scan kunnen uitvoeren van de netwerk- en informatiesystemen die voor de verlening van de diensten van de entiteit worden gebruikt. In voorkomend geval moeten de lidstaten ernaar streven dat alle sectorale CSIRT's over gelijke technische capaciteiten beschikken. De lidstaten moeten bij de ontwikkeling van hun CSIRT's de hulp van Enisa kunnen inroepen.

De CSIRT's moeten de mogelijkheid hebben om op verzoek van een essentiële of belangrijke entiteit de internetgerichte activa van de entiteit te monitoren, zowel binnen als buiten de lokalen ervan, om de algemene risico's voor de organisatie van de entiteit wat nieuwe aantastingen van de toeleveringsketen of kritieke kwetsbaarheden betreft vast te stellen, te begrijpen en te beheren. De entiteit moet worden aangespoord om aan het CSIRT mee te delen of zij gebruikmaakt van een interface voor bevoorrecht beheer, aangezien dit van invloed kan zijn op de snelheid waarmee beperkende maatregelen worden genomen.

Gezien het belang van internationale samenwerking op het gebied van cyberbeveiliging moeten de CSIRT's kunnen deelnemen aan internationale samenwerkingsnetwerken, naast het bij deze richtlijn opgerichte CSIRT-netwerk. Daarom moeten de CSIRT's en de bevoegde autoriteiten voor de uitvoering van hun taken informatie, met inbegrip van persoonsgegevens, kunnen uitwisselen met de nationale computer security incident response teams of bevoegde autoriteiten van derde landen, mits is voldaan aan de voorwaarden van het Uniegegevensbeschermingsrecht inzake doorgifte van persoonsgegevens aan derde landen, onder meer die van artikel 49 van Verordening (EU) 2016/679.

Met het oog op de verwezenlijking van de doelstellingen van deze richtlijn en om de bevoegde autoriteiten en de CSIRT's in staat te stellen de daarin vastgelegde taken uit te voeren, is het van essentieel belang te zorgen voor voldoende middelen. De lidstaten kunnen op nationaal niveau een financieringsmechanisme invoeren om de uitgaven te dekken in verband met de uitvoering van de taken van overheidsinstanties die op grond van deze richtlijn verantwoordelijk zijn voor cyberbeveiliging in de lidstaat. Een dergelijk mechanisme moet in overeenstemming zijn met het Unierecht en moet evenredig en niet-discriminerend zijn en het aanbieden van beveiligde diensten volgens verschillende benaderingen mogelijk maken.

Het CSIRT-netwerk moet blijven bijdragen aan het versterken van het vertrouwen, en snelle en doeltreffende operationele samenwerking tussen de lidstaten blijven bevorderen. Om de operationele samenwerking op het niveau van de Unie te verbeteren, moet het CSIRT-netwerk overwegen om organen en agentschappen van de Unie die betrokken zijn bij het cyberbeveiligingsbeleid, zoals Europol, uit te nodigen om deel te nemen aan zijn werkzaamheden.

Om een hoog niveau van cyberbeveiliging te bereiken en te handhaven, moeten de op grond van deze richtlijn vereiste nationale cyberbeveiligingsstrategieën bestaan uit samenhangende kaders met strategische doelstellingen en prioriteiten op het gebied van cyberbeveiliging en de governance om deze te verwezenlijken. Die strategieën kunnen bestaan uit een of meer wetgevings- of niet-wetgevingsinstrumenten.

Cyberhygiënebeleid vormt de basis voor de bescherming van de infrastructuur, hardware, software en onlinetoepassingen in het kader van netwerk- en informatiesystemen, en van de gegevens van zakelijke gebruikers of eindgebruikers waar entiteiten afhankelijk van zijn. Cyberhygiënebeleid omvat een gemeenschappelijke basisreeks van praktijken, met inbegrip van software- en hardware-updates, de wijziging van wachtwoorden, het beheer van nieuwe installaties, de beperking van toegangsaccounts op beheersniveau en het back-uppen van gegevens, en het maakt een proactief kader mogelijk met betrekking tot paraatheid en algemene veiligheid en beveiliging in geval van incidenten of cyberdreigingen. Enisa moet het cyberhygiënebeleid van de lidstaten monitoren en analyseren.

Cyberbeveiligingsbewustzijn en cyberhygiëne zijn van essentieel belang om het cyberbeveiligingsniveau in de Unie te verhogen, met name in het licht van het toenemende aantal verbonden apparaten waarvan bij cyberaanvallen steeds vaker gebruik wordt gemaakt. Er moeten inspanningen worden geleverd om het algemene bewustzijn van de risico's in verband met dergelijke apparaten te vergroten, terwijl beoordelingen op Unieniveau kunnen bijdragen tot een gemeenschappelijk begrip van dergelijke risico's binnen de interne markt.

De lidstaten moeten het gebruik aanmoedigen van innovatieve technologieën, met inbegrip van artificiële intelligentie, waarvan het gebruik de preventie en de opsporing van cyberaanvallen kan verbeteren, zodat de middelen ter bestrijding van cyberaanvallen doeltreffender kunnen worden ingezet. Daarom moeten de lidstaten in hun nationale cyberbeveiligingsstrategie activiteiten op het gebied van onderzoek en ontwikkeling bevorderen met het oog op het gebruik van dergelijke technologieën, met name die welke verband houden met geautomatiseerde of semigeautomatiseerde instrumenten op het gebied van cyberbeveiliging, en, indien nodig, het delen van gegevens om gebruikers van dergelijke technologieën op te leiden en deze te verbeteren. Het gebruik van innovatieve technologieën, met inbegrip van artificiële intelligentie, moet in overeenstemming zijn met het Uniegegevensbeschermingsrecht, met inbegrip van de gegevensbeschermingsbeginselen van nauwkeurigheid van de gegevens, minimale gegevensverwerking, billijkheid en transparantie, en gegevensbeveiliging, zoals geavanceerde versleuteling. Er moet ten volle worden tegemoetgekomen aan de in Verordening (EU) 2016/679 vastgestelde eisen inzake gegevensbescherming door ontwerp en door standaardinstellingen.

Opensource-instrumenten en -toepassingen voor cyberbeveiliging kunnen bijdragen tot meer openheid en de efficiëntie van industriële innovatie positief beïnvloeden. Open normen bevorderen de interoperabiliteit tussen beveiligingsinstrumenten, wat ten goede komt aan de beveiliging van belanghebbenden uit het bedrijfsleven. Opensource-instrumenten en -toepassingen voor cyberbeveiliging kunnen een hefboomwerking hebben voor de bredere gemeenschap van ontwikkelaars, waardoor diversificatie van leveranciers mogelijk wordt. Dankzij open source kan het proces voor de verificatie van instrumenten voor cyberbeveiliging transparanter verlopen en kan het proces om kwetsbaarheden te ontdekken door de gemeenschap worden aangestuurd. Daarom moet het voor de lidstaten mogelijk zijn om het gebruik van opensourcesoftware en open normen te bevorderen door het nastreven van beleidsmaatregelen die gericht zijn op het gebruik van open data en open source in het kader van beveiliging door transparantie. Beleidsmaatregelen ter bevordering van de invoering en het duurzame gebruik van opensource-instrumenten voor cyberbeveiliging zijn van bijzonder belang voor kleine en middelgrote ondernemingen die te maken krijgen met aanzienlijke uitvoeringskosten, die tot een minimum kunnen worden beperkt door de behoefte aan specifieke toepassingen of instrumenten te verminderen.

Nutsbedrijven zijn in toenemende mate aangesloten op digitale netwerken in steden om de stedelijke vervoersnetwerken te verbeteren, de watervoorziening en afvalverwijderingsinstallaties te moderniseren en gebouwen efficiënter te verlichten en verwarmen. Die gedigitaliseerde nutsbedrijven zijn kwetsbaar voor cyberaanvallen en lopen het risico dat zij burgers bij een succesvolle cyberaanval op grote schaal schade berokkenen doordat zij onderling verbonden zijn. De lidstaten moeten in het kader van hun nationale cyberbeveiligingsstrategie een beleid vaststellen dat gericht is op de ontwikkeling van dergelijke verbonden of slimme steden en de mogelijke gevolgen daarvan voor de samenleving.

De afgelopen jaren is er in de Unie een exponentiële toename van het aantal ransomwareaanvallen, waarbij gegevens en systemen worden vergrendeld met malware en voor de ontgrendeling losgeld moet worden betaald. De toenemende frequentie en ernst van ransomwareaanvallen kan het gevolg zijn van diverse factoren, zoals verschillende aanvalspatronen, criminele bedrijfsmodellen rond ‘ransomware als dienst’ en cryptovaluta, de vraag om losgeld en de toename van aanvallen op de toeleveringsketen. De lidstaten moeten in het kader van hun nationale cyberbeveiligingsstrategie beleidsmaatregelen ontwikkelen om de toename van ransomwareaanvallen aan te pakken.

Publiek-private partnerschappen (PPP's) op het gebied van cyberbeveiliging kunnen een passend kader bieden om kennis en beste praktijken uit te wisselen en te komen tot een gedeeld niveau van inzicht onder de belanghebbenden. De lidstaten moeten beleidsmaatregelen bevorderen ter ondersteuning van de oprichting van specifieke PPP's op het gebied van cyberbeveiliging. In die beleidsmaatregelen moeten met betrekking tot PPP's onder meer de draagwijdte en de betrokken belanghebbenden, het governancemodel, de beschikbare financieringsmogelijkheden en de interactie tussen de deelnemende belanghebbenden worden verduidelijkt. Dankzij PPP's kunnen entiteiten uit de particuliere sector de bevoegde autoriteiten met hun expertise ondersteunen met het oog op de ontwikkeling van geavanceerde diensten en processen, waaronder informatie-uitwisseling, vroegtijdige waarschuwingen, oefeningen betreffende cyberdreigingen en -incidenten, crisisbeheer en weerbaarheidsplanning.

De lidstaten moeten in hun nationale cyberbeveiligingsstrategieën rekening houden met de specifieke behoeften van kleine en middelgrote ondernemingen op het gebied van cyberbeveiliging. Kleine en middelgrote ondernemingen vertegenwoordigen in de hele Unie een groot percentage van de industriële en zakelijke markt en hebben vaak moeite om zich aan te passen aan nieuwe bedrijfspraktijken in een meer verbonden wereld en aan de digitale wereld, met thuiswerkende werknemers en steeds meer online verrichte bedrijfsactiviteiten. Sommige kleine en middelgrote ondernemingen worden geconfronteerd met specifieke uitdagingen op het gebied van cyberbeveiliging, namelijk een beperkt cyberbewustzijn, een gebrek aan IT-beveiliging op afstand, hoge kosten van cyberbeveiligingsoplossingen en een verhoogd dreigingsniveau, onder meer door ransomware, waarvoor zij begeleiding en bijstand moeten krijgen. Kleine en middelgrote ondernemingen worden steeds vaker het doelwit van aanvallen op de toeleveringsketen omdat zij minder strenge maatregelen voor het beheer van cyberbeveiligingsrisico's en aanvalsbeheer nemen, en omdat zij beperkte beveiligingsmiddelen hebben. Dergelijke aanvallen op de toeleveringsketen hebben niet alleen gevolgen voor kleine en middelgrote ondernemingen en hun activiteiten, maar kunnen ook een cascade-effect veroorzaken en zo leiden tot grotere aanvallen op entiteiten waaraan kleine en middelgrote ondernemingen hebben geleverd. De lidstaten moeten via hun nationale cyberbeveiligingsstrategieën kleine en middelgrote ondernemingen helpen de uitdagingen in hun toeleveringsketen aan te pakken. De lidstaten moeten beschikken over een contactpunt voor kleine en middelgrote ondernemingen op nationaal of regionaal niveau, dat begeleiding en bijstand verleent aan kleine en middelgrote ondernemingen of hen doorverwijst naar de passende instanties voor begeleiding en bijstand met betrekking tot cyberbeveiliging. De lidstaten worden ook aangespoord om diensten zoals websiteconfiguratie en registratiesystemen aan te bieden aan micro-ondernemingen en kleine ondernemingen die niet over deze mogelijkheden beschikken.

De lidstaten moeten in het kader van hun nationale cyberbeveiligingsstrategieën beleidsmaatregelen vaststellen ter bevordering van actieve cyberbescherming in het kader van een bredere verdedigingsstrategie. In plaats van achteraf te reageren, bestaat actieve cyberbescherming uit het actief voorkomen, opsporen, monitoren, analyseren en beperken van inbreuken op de beveiliging van netwerken, in combinatie met het gebruik van capaciteiten die binnen en buiten het netwerk van de slachtoffers worden ingezet. Daarbij kan het gaan om lidstaten die gratis diensten of instrumenten aanbieden aan bepaalde entiteiten, waaronder zelfbedieningscontroles, opsporingsinstrumenten en verwijderingsdiensten. Het vermogen om snel en automatisch informatie over en analyses van dreigingen, cyberactiviteitswaarschuwingen en responsacties te delen en te begrijpen, is van cruciaal belang om gezamenlijke inspanningen mogelijk te maken om aanvallen op netwerk- en informatiesystemen met succes te voorkomen, op te sporen, aan te pakken en tegen te houden. Actieve cyberbescherming is gebaseerd op een verdedigingsstrategie die offensieve maatregelen uitsluit.

Aangezien de exploitatie van kwetsbaarheden in netwerk- en informatiesystemen aanzienlijke verstoringen en schade kan veroorzaken, is het snel identificeren en verhelpen van dergelijke kwetsbaarheden een belangrijke factor in het verminderen van het risico. Entiteiten die netwerk- en informatiesystemen ontwikkelen of beheren, moeten daarom passende procedures vaststellen om kwetsbaarheden aan te pakken wanneer deze worden ontdekt. Aangezien kwetsbaarheden vaak door derden worden ontdekt of bekendgemaakt, moet de fabrikant of aanbieder van ICT-producten of ICT-diensten ook voorzien in de noodzakelijke procedures om kwetsbaarheidsinformatie van derden te ontvangen. In dat verband bieden de internationale normen ISO/IEC 30111 en ISO/IEC 29147 richtsnoeren voor de respons op en de bekendmaking van kwetsbaarheden. Het versterken van de coördinatie tussen de rapporterende natuurlijke personen en rechtspersonen en de fabrikanten of aanbieders van ICT-producten of ICT-diensten is met name van belang ten behoeve van het vrijwillige kader voor de bekendmaking van kwetsbaarheden. De gecoördineerde bekendmaking van kwetsbaarheden duidt een gestructureerd proces aan waarbij kwetsbaarheden aan de fabrikant of aanbieder van de potentieel kwetsbare ICT-producten of ICT-diensten worden gemeld op een manier die deze in staat stelt de kwetsbaarheid te diagnosticeren en te verhelpen voordat gedetailleerde informatie over de kwetsbaarheid aan derden of aan het publiek wordt bekendgemaakt. De gecoördineerde bekendmaking van kwetsbaarheden moet ook betrekking hebben op de coördinatie tussen de rapporterende natuurlijke persoon of rechtspersoon en de fabrikant of aanbieder van de potentieel kwetsbare ICT-producten of ICT-diensten wat betreft het tijdstip van het herstel en de bekendmaking van de kwetsbaarheden.

De Commissie, Enisa en de lidstaten moeten de afstemming op de internationale normen en bestaande beste praktijken van het bedrijfsleven op het gebied van risicobeheer inzake cyberbeveiliging blijven bevorderen, bijvoorbeeld op het gebied van de beoordeling van de beveiliging van de toeleveringsketen, de informatie-uitwisseling en de bekendmaking van kwetsbaarheden.

De lidstaten moeten in samenwerking met Enisa maatregelen nemen om een gecoördineerde bekendmaking van kwetsbaarheden te vergemakkelijken door een relevant nationaal beleid vast te stellen. In het kader van hun nationaal beleid moeten de lidstaten ernaar streven zoveel mogelijk de problemen weg te nemen waar onderzoekers van kwetsbaarheden mee worden geconfronteerd, waaronder hun mogelijke blootstelling aan strafrechtelijke aansprakelijkheid, overeenkomstig het nationale recht. Aangezien natuurlijke en rechtspersonen die onderzoek doen naar kwetsbaarheden in sommige lidstaten strafrechtelijk en civielrechtelijk aansprakelijk kunnen worden gesteld, worden de lidstaten aangespoord richtsnoeren vast te stellen met betrekking tot niet-vervolging van onderzoekers op het gebied van informatiebeveiliging en vrijstelling van civielrechtelijke aansprakelijkheid voor hun activiteiten.

De lidstaten moeten een van hun CSIRT's aanwijzen als coördinator die, indien nodig, optreedt als betrouwbare tussenpersoon tussen de rapporterende natuurlijke of rechtspersonen en de fabrikanten of aanbieders van ICT-producten of ICT-diensten, die waarschijnlijk door de kwetsbaarheid zullen worden getroffen. De taken van het als coördinator aangewezen CSIRT moeten met name bestaan uit het identificeren van en contact opnemen met de betrokken entiteiten, het bijstaan van de natuurlijke of rechtspersonen die een kwetsbaarheid melden, het onderhandelen over tijdschema's voor de bekendmaking en het beheren van kwetsbaarheden die van invloed zijn op meerdere entiteiten (gecoördineerde bekendmaking van kwetsbaarheden door meerdere partijen). Wanneer de gemelde kwetsbaarheid significante gevolgen kan hebben voor entiteiten in meer dan een lidstaat, moeten de als coördinator aangewezen CSIRT's in voorkomend geval binnen het CSIRT-netwerk samenwerken.

Toegang tot correcte en tijdige informatie over kwetsbaarheden die van invloed zijn op ICT-producten en ICT-diensten draagt bij aan een verbeterd risicobeheer inzake cyberbeveiliging. Bronnen van publiek beschikbare informatie over kwetsbaarheden zijn een belangrijk instrument voor de entiteiten en voor de gebruikers van hun diensten, maar ook voor de bevoegde autoriteiten en de CSIRT's. Daarom moet Enisa een Europese kwetsbaarheidsdatabase instellen waarin entiteiten, ongeacht of zij binnen het toepassingsgebied van deze richtlijn vallen, en hun leveranciers van netwerk- en informatiesystemen, evenals de bevoegde autoriteiten en de CSIRT's, op vrijwillige basis algemeen bekende kwetsbaarheden kunnen publiceren en registreren om gebruikers in staat te stellen passende beperkende maatregelen te nemen. Het doel van die database is de unieke uitdagingen aan te pakken die voortvloeien uit de risico's voor entiteiten in de Unie. Voorts moet Enisa voorzien in een passende procedure voor het bekendmakingsproces teneinde entiteiten de tijd te geven om beperkende maatregelen te nemen met betrekking tot hun kwetsbaarheden en gebruik te maken van geavanceerde maatregelen voor het beheer van cyberbeveiligingsrisico's, alsook van machinaal leesbare gegevenssets en bijbehorende interfaces. Om een cultuur van bekendmaking van kwetsbaarheden te bevorderen, mag bekendmaking geen nadelige gevolgen hebben voor de rapporterende natuurlijke persoon of rechtspersoon.

Hoewel er soortgelijke kwetsbaarheidsregisters of -databases bestaan, worden deze gehost en onderhouden door entiteiten die niet in de Unie zijn gevestigd. Een door Enisa bijgehouden Europese kwetsbaarheidsdatabase zou zorgen voor meer transparantie met betrekking tot het bekendmakingsproces voordat de kwetsbaarheid openbaar wordt gemaakt, en voor meer weerbaarheid in geval van een verstoring of een onderbreking van de verlening van soortgelijke diensten. Om dubbel werk te voorkomen en zoveel mogelijk complementariteit na te streven, moet Enisa de mogelijkheid onderzoeken om gestructureerde samenwerkingsovereenkomsten te sluiten met soortgelijke registers of databases die onder de jurisdictie van derde landen vallen. Meer bepaald moet Enisa de mogelijkheid onderzoeken van nauwe samenwerking met de beheerders van het systeem voor gemeenschappelijke kwetsbaarheden en blootstellingen (CVE).

De samenwerkingsgroep moet de strategische samenwerking en de uitwisseling van informatie tussen de lidstaten ondersteunen en bevorderen, en het onderlinge vertrouwen tussen de lidstaten vergroten. De samenwerkingsgroep moet om de twee jaar een werkprogramma vaststellen. Het werkprogramma moet de acties omvatten die de samenwerkingsgroep moet ondernemen om haar doelstellingen en taken uit te voeren. Om mogelijke verstoringen van de werkzaamheden van de samenwerkingsgroep te voorkomen, moet het tijdschema voor de vaststelling van het eerste werkprogramma dat uit hoofde van deze richtlijn wordt vastgesteld, worden afgestemd op het tijdschema van het laatste werkprogramma dat uit hoofde van Richtlijn (EU) 2016/1148 is vastgesteld.

Bij de ontwikkeling van richtsnoeren moet de samenwerkingsgroep consequent nationale oplossingen en ervaringen in kaart brengen, het effect van de resultaten van de samenwerkingsgroep op de nationale aanpak beoordelen, de uitdagingen op het gebied van de uitvoering bespreken en specifieke aanbevelingen formuleren — met name over het vergemakkelijken van de onderlinge afstemming tussen de lidstaten bij de omzetting van deze richtlijn — die moeten worden aangepakt door een betere uitvoering van de bestaande regels. De samenwerkingsgroep kan ook de nationale oplossingen in kaart brengen om compatibele oplossingen op het gebied van cyberbeveiliging die in elke specifieke sector in de Unie worden toegepast, te bevorderen. Dit is met name relevant voor sectoren met een internationaal en grensoverschrijdend karakter.

De samenwerkingsgroep moet een flexibel forum blijven en in staat zijn te reageren op veranderende en nieuwe beleidsprioriteiten en -uitdagingen, rekening houdend met de beschikbaarheid van middelen. Zij kan regelmatig gezamenlijke bijeenkomsten organiseren met relevante particuliere belanghebbenden uit de hele Unie om de activiteiten van de samenwerkingsgroep te bespreken en gegevens en input over nieuwe beleidsuitdagingen te verzamelen. Daarnaast moet de samenwerkingsgroep regelmatig de stand van zaken met betrekking tot cyberdreigingen of -incidenten, zoals ransomware, beoordelen. Om de samenwerking op Unieniveau te versterken, moet de samenwerkingsgroep overwegen de relevante instellingen, organen en instanties van de Unie die betrokken zijn bij het cyberbeveiligingsbeleid, zoals het Europees Parlement, Europol, het Europees Comité voor gegevensbescherming, het bij Verordening (EU) 2018/1139 opgerichte Agentschap van de Europese Unie voor de veiligheid van de luchtvaart en het bij Verordening (EU) 2021/696 van het Europees Parlement en de Raad (14) opgerichte Agentschap van de Europese Unie voor het ruimtevaartprogramma, uit te nodigen om deel te nemen aan de werkzaamheden van de groep.

De bevoegde autoriteiten en de CSIRT's moeten kunnen deelnemen aan uitwisselingsprogramma's voor ambtenaren uit andere lidstaten, binnen een specifiek kader en, in voorkomend geval, op voorwaarde dat de ambtenaren die aan dergelijke uitwisselingsprogramma's deelnemen over de vereiste veiligheidsmachtiging beschikken, teneinde de samenwerking te verbeteren en het vertrouwen tussen de lidstaten te versterken. De bevoegde autoriteiten moeten de noodzakelijke maatregelen nemen om ambtenaren uit andere lidstaten in staat te stellen een doeltreffende rol te spelen in de activiteiten van de bevoegde autoriteit van ontvangst of het CSIRT van ontvangst.

De lidstaten moeten bijdragen aan de totstandbrenging van het in Aanbeveling (EU) 2017/1584 van de Commissie (15) beschreven EU-kader voor respons op cybercrises via de bestaande samenwerkingsnetwerken, met name het Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe), het CSIRT-netwerk en de samenwerkingsgroep. EU-CyCLONe en het CSIRT-netwerk moeten samenwerken op basis van procedurele regelingen waarin die samenwerking nader wordt gespecificeerd en moeten dubbel werk voorkomen. In het reglement van orde van EU-CyCLONe moeten de regelingen voor de werking van dat netwerk nader worden gespecificeerd, met inbegrip van de rollen van het netwerk, de samenwerkingswijzen, de interactie met andere relevante actoren en de modellen voor het delen van informatie, alsmede de communicatiemiddelen. Voor crisisbeheer op Unieniveau moeten de relevante partijen zich baseren op de geïntegreerde Unieregeling politieke crisisrespons overeenkomstig Uitvoeringsbesluit (EU) 2018/1993 van de Raad (16) (IPCR-regeling). De Commissie moet daartoe gebruikmaken van het ARGUS-proces voor sectoroverschrijdende crisiscoördinatie op hoog niveau. Als de crisis een belangrijke externe dimensie heeft of raakt aan het gemeenschappelijk veiligheids- en defensiebeleid, moet het crisisresponsmechanisme van de Europese Dienst voor extern optreden worden geactiveerd.

Overeenkomstig de bijlage bij Aanbeveling (EU) 2017/1584 moet onder een grootschalig cyberbeveiligingsincident een incident worden verstaan dat leidt tot een verstoring die te groot is om door een getroffen lidstaat alleen te worden verholpen of dat significante gevolgen heeft voor ten minste twee lidstaten. Afhankelijk van hun oorzaak en gevolgen kunnen grootschalige cyberbeveiligingsincidenten escaleren en veranderen in volwaardige crises die de goede werking van de interne markt niet mogelijk maken of ernstige risico's voor de openbare veiligheid en beveiliging met zich meebrengen voor entiteiten of burgers in verschillende lidstaten of in de Unie als geheel. Gezien het brede toepassingsgebied en in de meeste gevallen het grensoverschrijdende karakter van dergelijke incidenten, moeten de lidstaten en de betrokken instellingen, organen en instanties van de Unie op technisch, operationeel en politiek niveau samenwerken om de respons in de hele Unie naar behoren te coördineren.

Grootschalige cyberbeveiligingsincidenten en crises op het niveau van de Unie vereisen een gecoördineerd optreden om een snelle en doeltreffende respons te waarborgen, gezien de sterke onderlinge verwevenheid tussen sectoren en lidstaten. De beschikbaarheid van cyberbestendige netwerk- en informatiesystemen en de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens zijn van vitaal belang voor de beveiliging van de Unie en voor de bescherming van haar burgers, bedrijven en instellingen tegen incidenten en cyberdreigingen, alsook voor het versterken van het vertrouwen van personen en organisaties in het vermogen van de Unie om een mondiale, open, vrije, stabiele en beveiligde cyberspace te bevorderen en te beschermen die gebaseerd is op de mensenrechten, de fundamentele vrijheden, de democratie en de rechtsstaat.

EU-CyCLONe moet tijdens grootschalige cyberbeveiligingsincidenten en crises fungeren als intermediair netwerk tussen het technische en het politieke niveau, de samenwerking op operationeel niveau versterken en de besluitvorming op politiek niveau ondersteunen. EU-CyCLONe moet, in samenwerking met de Commissie vanwege haar bevoegdheid op het gebied van crisisbeheer, voortbouwen op de bevindingen van het CSIRT-netwerk en zijn eigen capaciteiten gebruiken om een effectbeoordeling van grootschalige cyberbeveiligingsincidenten en crises op te stellen.

Cyberaanvallen hebben een grensoverschrijdend karakter en een significant incident kan kritieke informatie-infrastructuur waarvan de goede werking van de interne markt afhankelijk is, verstoren en beschadigen. Aanbeveling (EU) 2017/1584 heeft betrekking op de rol van alle relevante actoren. Voorts is de Commissie, in het kader van het Uniemechanisme voor civiele bescherming dat is ingesteld bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad (17), verantwoordelijk voor algemene paraatheidsacties, met inbegrip van het beheren van het Coördinatiecentrum voor respons in noodsituaties en het gemeenschappelijk noodcommunicatie- en informatiesysteem, het onderhouden en verder ontwikkelen van het situationeel bewustzijn en het analysevermogen, en het ontwikkelen en beheren van de noodzakelijke capaciteit om teams van deskundigen te kunnen mobiliseren en uit te zenden in geval van een verzoek om bijstand van een lidstaat of een derde land. De Commissie is ook verantwoordelijk voor het verstrekken van analytische verslagen voor de IPCR-regeling uit hoofde van Uitvoeringsbesluit (EU) 2018/1993, onder meer met betrekking tot situatiekennis en paraatheid op het gebied van cyberbeveiliging, alsook voor situatiekennis en crisisrespons op het gebied van de landbouw, ongunstige weersomstandigheden, het in kaart brengen van conflicten en prognoses, systemen voor vroegtijdige waarschuwing bij natuurrampen, noodsituaties op het gebied van de volksgezondheid, de bewaking van infectieziekten, plantgezondheid, chemische incidenten, de veiligheid van levensmiddelen en diervoeders, diergezondheid, migratie, douane, noodsituaties op nucleair en radiologisch gebied, en energie.

De Unie kan in voorkomend geval overeenkomstig artikel 218 VWEU internationale overeenkomsten met derde landen of internationale organisaties sluiten die hun deelname aan bepaalde activiteiten van de samenwerkingsgroep, het CSIRT-netwerk en EU-CyCLONe mogelijk maken en organiseren. Dergelijke overeenkomsten moeten de belangen van de Unie en de passende bescherming van gegevens waarborgen. Dit mag geen afbreuk doen aan het recht van de lidstaten om met derde landen samen te werken op het gebied van het beheer van kwetsbaarheden en risicobeheer op het gebied van cyberbeveiliging, ter vergemakkelijking van de rapportage en het delen van algemene informatie overeenkomstig het Unierecht.

Om de doeltreffende uitvoering van deze richtlijn te vergemakkelijken, onder meer wat betreft het beheer van kwetsbaarheden, maatregelen voor het beheer van cyberbeveiligingsrisico's, rapportageverplichtingen en informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging, kunnen de lidstaten samenwerken met derde landen en activiteiten ondernemen die daartoe geschikt worden geacht, waaronder informatie-uitwisseling over cyberdreigingen, incidenten, kwetsbaarheden, instrumenten en methoden, tactieken, technieken en procedures, paraatheid en oefeningen betreffende crisisbeheer op het gebied van cyberbeveiliging, opleiding, vertrouwensopbouw en gestructureerde informatie-uitwisselingsregelingen.

Er moeten collegiale toetsingen worden ingevoerd om te helpen leren van gedeelde ervaringen, het wederzijdse vertrouwen te versterken en een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken. Collegiale toetsingen kunnen leiden tot waardevolle inzichten en aanbevelingen die de algehele cyberbeveiligingscapaciteiten versterken, een ander functioneel traject creëren voor de uitwisseling van beste praktijken tussen de lidstaten en bijdragen tot een hogere mate van maturiteit van de lidstaten op het gebied van cyberbeveiliging. Voorts moeten collegiale toetsingen de resultaten van soortgelijke mechanismen — zoals het systeem voor collegiale toetsing van het CSIRT-netwerk — in aanmerking nemen, en moet zij meerwaarde toevoegen en dubbel werk vermijden. De invoering van collegiale toetsingen mag geen afbreuk doen aan het Unie- of nationale recht inzake de bescherming van vertrouwelijke of gerubriceerde informatie.

De samenwerkingsgroep moet een zelfbeoordelingsmethode voor de lidstaten vaststellen, waarmee wordt beoogd factoren te bestrijken zoals het niveau van uitvoering van de risicobeheersmaatregelen en rapportageverplichtingen op het gebied van cyberbeveiliging, het capaciteitsniveau en de doeltreffendheid van de uitoefening van de taken van de bevoegde autoriteiten, de operationele capaciteiten van de CSIRT's, het uitvoeringsniveau van wederzijdse bijstand, het uitvoeringsniveau van de informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging, of specifieke kwesties van grens- of sectoroverschrijdende aard. De lidstaten moeten worden aangemoedigd om regelmatig zelfbeoordelingen uit te voeren en de resultaten van hun zelfbeoordeling binnen de samenwerkingsgroep te presenteren en te bespreken.

De verantwoordelijkheid voor het waarborgen van de beveiliging van netwerk- en informatiesystemen ligt voor een groot deel bij de essentiële en belangrijke entiteiten. Er moet een cultuur van risicobeheer worden bevorderd en ontwikkeld, die risicobeoordelingen en de uitvoering van op de risico's afgestemde maatregelen voor het beheer van cyberbeveiligingsrisico's behelst.

Maatregelen voor het beheer van cyberbeveiligingsrisico's moeten worden afgestemd op de mate waarin de essentiële of belangrijke entiteit afhankelijk is van netwerk- en informatiesystemen en moeten maatregelen omvatten om eventuele risico's van incidenten te identificeren, om incidenten te voorkomen, op te sporen, erop te reageren en ervan te herstellen en om de gevolgen ervan te beperken. De beveiliging van netwerk- en informatiesystemen moet de beveiliging van opgeslagen, verzonden en verwerkte gegevens omvatten. Maatregelen voor het beheer van cyberbeveiligingsrisico's moeten voorzien in een systemische analyse, waarbij rekening wordt gehouden met de menselijke factor, om een volledig beeld te krijgen van de beveiliging van het netwerk- en informatiesysteem.

Aangezien bedreigingen voor de beveiliging van netwerk- en informatiesystemen uit verschillende hoeken kunnen komen, moeten maatregelen voor het beheer van cyberbeveiligingsrisico's gebaseerd zijn op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via netwerk- en informatiesystemen worden aangeboden, in gevaar kunnen brengen, zoals diefstal, brand, overstromingen en telecommunicatie- en stroomstoringen of ongeoorloofde fysieke toegang tot, beschadiging van of interferentie met de informatie- en informatieverwerkingsfaciliteiten van een essentiële of belangrijke entiteit. Bij de maatregelen voor het beheer van cyberbeveiligingsrisico's moet daarom ook aandacht worden besteed aan de fysieke en omgevingsbeveiliging van netwerk- en informatiesystemen, door maatregelen op te nemen om dergelijke systemen te beschermen tegen systeemstoringen, menselijke fouten, kwaadwillige handelingen en natuurverschijnselen, overeenkomstig de Europese en internationale normen, zoals die in de ISO/IEC 27000-reeks. In dat verband moeten essentiële en belangrijke entiteiten in het kader van hun maatregelen voor het beheer van cyberbeveiligingsrisico's ook aandacht besteden aan beveiliging van het personeel en een passend toegangsbeleid voeren. Deze maatregelen moeten in overeenstemming zijn met Richtlijn (EU) 2022/2557.

Om aan te tonen dat de maatregelen voor het beheer van cyberbeveiligingsrisico's worden nageleefd en bij gebrek aan passende Europese regelingen voor cyberbeveiligingscertificering die zijn vastgesteld overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad (18), moeten de lidstaten, in overleg met de samenwerkingsgroep en de Europese Groep voor cyberbeveiligingscertificering, het gebruik van de relevante Europese en internationale normen door essentiële en belangrijke entiteiten bevorderen of kunnen zij eisen dat entiteiten gecertificeerde ICT-producten, ICT-diensten en ICT-processen gebruiken.

Om te voorkomen dat aan essentiële en belangrijke entiteiten onevenredige financiële en administratieve lasten worden opgelegd, moeten de maatregelen voor het beheer van cyberbeveiligingsrisico's in verhouding staan tot de risico's voor het betrokken netwerk- en informatiesysteem, rekening houdend met de stand van de techniek van dergelijke maatregelen en, in voorkomend geval, de relevante Europese en internationale normen, alsook met de kosten voor de uitvoering ervan.

Maatregelen voor het beheer van cyberbeveiligingsrisico's moeten in verhouding staan tot de mate waarin de essentiële of belangrijke entiteit aan risico's is blootgesteld en de maatschappelijke en economische gevolgen die een incident zou hebben. Bij het vaststellen van maatregelen voor het beheer van cyberbeveiligingsrisico's die zijn aangepast aan essentiële en belangrijke entiteiten, moet terdege rekening worden gehouden met de uiteenlopende mate waarin essentiële en belangrijke entiteiten aan risico's zijn blootgesteld, overeenkomstig het kritieke karakter van de entiteit, de risico's, met inbegrip van maatschappelijke risico's, waaraan de entiteit is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.

Essentiële en belangrijke entiteiten moeten de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken, waarborgen. Die systemen zijn voornamelijk particuliere netwerk- en informatiesystemen die door de interne IT-medewerkers van essentiële en belangrijke entiteiten worden beheerd of waarvan de beveiliging is uitbesteed. De maatregelen voor het beheer van cyberbeveiligingsrisico's en de rapportageverplichtingen die in deze richtlijn zijn vastgesteld, moeten van toepassing zijn op de relevante essentiële en belangrijke entiteiten, ongeacht of deze entiteiten het onderhoud van hun netwerk- en informatiesystemen intern uitvoeren of uitbesteden.

Gezien het grensoverschrijdende karakter ervan, moeten de regels voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten in hoge mate worden geharmoniseerd op het niveau van de Unie. Daarom moet de uitvoering van maatregelen voor het beheer van cyberbeveiligingsrisico's ten aanzien van deze entiteiten worden bevorderd door middel van een uitvoeringshandeling.

Het aanpakken van risico's die voortvloeien uit de toeleveringsketen van een entiteit en uit haar relatie met haar leveranciers, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking of leveranciers van beheerde beveiligingsdiensten en softwareredacteuren, is bijzonder belangrijk gezien de prevalentie van incidenten waarbij entiteiten het slachtoffer zijn geweest van cyberaanvallen en waarbij kwaadwillende daders de beveiliging van de netwerk- en informatiesystemen van een entiteit in gevaar hebben kunnen brengen door gebruik te maken van kwetsbaarheden die van invloed zijn op producten en diensten van derden. Essentiële en belangrijke entiteiten moeten daarom de algemene kwaliteit en weerbaarheid van de producten en diensten, de daarin vervatte maatregelen voor het beheer van cyberbeveiligingsrisico's, en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners beoordelen en er rekening mee houden, met inbegrip van hun veilige ontwikkelingsprocedures. Essentiële en belangrijke entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico's op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. Die entiteiten kunnen ook risico's in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers en dienstverleners op een ander niveau.

Onder de dienstverleners spelen aanbieders van beheerde beveiligingsdiensten op het gebied van bijvoorbeeld incidentrespons, penetratietesten, beveiligingsaudits en consultancy een bijzonder belangrijke rol in het bijstaan van entiteiten bij hun inspanningen om incidenten te voorkomen, op te sporen, erop te reageren en ervan te herstellen. Aanbieders van beheerde beveiligingsdiensten zijn echter ook zelf het doelwit van cyberaanvallen geweest en vormen een bijzonder risico vanwege hun nauwe integratie in de activiteiten van de entiteiten. Essentiële en belangrijke entiteiten moeten daarom nog meer zorgvuldigheid betrachten bij de selectie van een aanbieder van beheerde beveiligingsdiensten.

Ook de bevoegde autoriteiten kunnen, in het kader van hun toezichthoudende taken, gebruikmaken van cyberbeveiligingsdiensten zoals beveiligingsaudits, penetratietesten of incidentrespons.

Essentiële en belangrijke entiteiten moeten ook aandacht besteden aan de risico's die voortvloeien uit hun interacties en relaties met andere belanghebbenden binnen een breder ecosysteem, onder meer met betrekking tot de bestrijding van industriële spionage en de bescherming van bedrijfsgeheimen. Die entiteiten moeten met name passende maatregelen nemen om ervoor te zorgen dat hun samenwerking met academische en onderzoeksinstellingen in overeenstemming is met hun cyberbeveiligingsbeleid en dat zij daarbij goede praktijken volgen met betrekking tot veilige toegang en verspreiding van informatie in het algemeen en de bescherming van de intellectuele eigendom in het bijzonder. Evenzo moeten essentiële en belangrijke entiteiten, gezien het belang en de waarde van gegevens voor de activiteiten van die entiteiten, bij het gebruik van gegevenstransformatie- en gegevensanalysediensten van derden, alle passende maatregelen voor het beheer van cyberbeveiligingsrisico's nemen.

Essentiële en belangrijke entiteiten moeten een breed scala aan basispraktijken op het gebied van cyberhygiëne toepassen, zoals zero trust-beginselen, software-updates, configuratie van apparaten, netwerksegmentatie, identiteits- en toegangsbeheer of gebruikersbewustzijn, opleidingen voor hun personeel organiseren en het bewustzijn van cyberdreigingen, phishing of socialengineeringtechnieken vergroten. Voorts moeten die entiteiten hun eigen capaciteiten op het gebied van cyberbeveiliging evalueren en, in voorkomend geval, streven naar de integratie van technologieën ter bevordering van cyberbeveiliging, zoals artificiële intelligentie of machine-leersystemen, om hun capaciteiten en de beveiliging van netwerk- en informatiesystemen te verbeteren.

Om de belangrijkste risico's van de toeleveringsketen verder aan te pakken en essentiële en belangrijke entiteiten die actief zijn in onder deze richtlijn vallende sectoren te helpen om de risico's van de toeleveringsketen en de leveranciers op passende wijze te beheren, moet de samenwerkingsgroep, in samenwerking met de Commissie en Enisa, en in voorkomend geval na raadpleging van de relevante belanghebbenden, onder meer uit het bedrijfsleven, gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens uitvoeren, zoals die welke worden uitgevoerd voor 5G-netwerken naar aanleiding van Aanbeveling (EU) 2019/534 van de Commissie (19), met als doel per sector de kritieke ICT-diensten, ICT-systemen of ICT-producten, relevante bedreigingen en kwetsbaarheden vast te stellen. Bij dergelijke gecoördineerde beveiligingsrisicobeoordelingen moeten maatregelen, mitigatieplannen en beste praktijken worden vastgesteld om kritieke afhankelijkheden, mogelijke zwakke punten, bedreigingen, kwetsbaarheden en andere risico's in verband met de toeleveringsketen tegen te gaan, en moet worden nagegaan hoe de bredere toepassing ervan door essentiële en belangrijke entiteiten verder kan worden bevorderd. Mogelijke niet-technische risicofactoren, zoals ongepaste beïnvloeding van leveranciers en dienstverleners door een derde land, met name in het geval van alternatieve governancemodellen, omvatten verborgen kwetsbaarheden of ‘backdoors’ en mogelijke systemische verstoringen van de toelevering, met name in het geval van technologische lock-ins of afhankelijkheid van leveranciers.

Bij de gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens moet er, in het licht van de kenmerken van de betrokken sector, rekening worden gehouden met zowel technische als, in voorkomend geval, niet-technische factoren, met inbegrip van die welke zijn gedefinieerd in Aanbeveling (EU) 2019/534, in de gecoördineerde risicobeoordeling van de cyberbeveiliging van 5G-netwerken in de EU en in het EU-instrumentarium voor 5G-cyberbeveiliging dat door de samenwerkingsgroep is overeengekomen. Om te bepalen welke toeleveringsketens aan een gecoördineerde beveiligingsrisicobeoordeling moeten worden onderworpen, moet rekening worden gehouden met de volgende criteria: i) de mate waarin essentiële en belangrijke entiteiten gebruikmaken van en vertrouwen op specifieke kritieke ICT-diensten, ICT-systemen of ICT-producten; ii) de relevantie van specifieke kritieke ICT-diensten, ICT-systemen of ICT-producten voor het uitvoeren van kritieke of gevoelige functies, met inbegrip van de verwerking van persoonsgegevens; iii) de beschikbaarheid van alternatieve ICT-diensten, ICT-systemen of ICT-producten; iv) de weerbaarheid van de gehele toeleveringsketen van ICT-diensten, ICT-systemen of ICT-producten tegen verstorende gebeurtenissen gedurende hun hele levenscyclus; en v) voor opkomende ICT-diensten, ICT-systemen of ICT-producten, hun potentiële toekomstige betekenis voor de activiteiten van de entiteiten. Voorts moet bijzondere nadruk worden gelegd op ICT-diensten, ICT-systemen of ICT-producten waarvoor specifieke eisen gelden die voortvloeien uit regelgeving van derde landen.

Om de verplichtingen die aan aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten en verleners van vertrouwensdiensten in verband met de beveiliging van hun netwerk- en informatiesystemen worden opgelegd te stroomlijnen, en om die entiteiten en de uit hoofde van Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad (20) respectievelijk Verordening (EU) nr. 910/214 bevoegde autoriteiten in staat te stellen gebruik te maken van het bij deze richtlijn vastgestelde rechtskader, met inbegrip van de aanwijzing van een CSIRT dat verantwoordelijk is voor de behandeling van en incidenten, en de deelname van de betrokken bevoegde autoriteiten aan de activiteiten van de samenwerkingsgroep en het CSIRT-netwerk, moeten die entiteiten binnen het toepassingsgebied van deze richtlijn vallen. De overeenkomstige bepalingen van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 met betrekking tot het opleggen van beveiligings- en meldingsvoorschriften aan die soorten entiteiten moeten derhalve worden geschrapt. De in deze richtlijn vastgestelde rapportageverplichtingen mogen geen afbreuk doen aan Verordening (EU) 2016/679 en Richtlijn 2002/58/EG.

De in deze richtlijn vastgelegde cyberbeveiligingsverplichtingen moeten worden beschouwd als een aanvulling op de eisen voor verleners van vertrouwensdiensten uit hoofde van Verordening (EU) nr. 910/2014. Verleners van vertrouwensdiensten moeten worden verplicht alle passende en evenredige maatregelen te nemen om de risico's voor hun diensten te beheren, onder meer ten aanzien van klanten en vertrouwende derden, en incidenten te melden krachtens deze richtlijn. Dergelijke cyberbeveiligings- en rapportageverplichtingen moeten ook betrekking hebben op de fysieke bescherming van de verleende diensten. De in artikel 24 van Verordening (EU) nr. 910/2014 vastgestelde eisen voor gekwalificeerde verleners van vertrouwensdiensten blijven van toepassing.

De lidstaten kunnen de rol van de bevoegde autoriteiten voor vertrouwensdiensten toewijzen aan de toezichthoudende organen uit hoofde van Verordening (EU) nr. 910/2014 om de voortzetting van de huidige praktijken te waarborgen en voort te bouwen op de bij de toepassing van die verordening opgedane kennis en ervaring. In een dergelijk geval moeten de uit hoofde van deze richtlijn bevoegde autoriteiten nauw en tijdig samenwerken met die toezichthoudende organen door relevante informatie uit te wisselen om doeltreffend toezicht te waarborgen en om ervoor te zorgen dat verleners van vertrouwensdiensten zich houden aan de eisen van deze richtlijn en Verordening (EU) nr. 910/2014. In voorkomend geval moet het CSIRT of de bevoegde autoriteit uit hoofde van deze richtlijn het toezichthoudend orgaan uit hoofde van Verordening (EU) nr. 910/2014 onmiddellijk informeren over alle gemelde significante cyberdreigingen of -incidenten met gevolgen voor vertrouwensdiensten, evenals over alle gevallen waarin een verlener van vertrouwensdiensten inbreuk pleegt op deze richtlijn. Voor de rapportage kunnen de lidstaten in voorkomend geval een beroep doen op het centrale contactpunt dat is ingesteld om te komen tot een gemeenschappelijke en automatische melding van incidenten aan zowel het toezichthoudend orgaan uit hoofde van Verordening (EU) nr. 910/2014 als het CSIRT of de bevoegde autoriteit uit hoofde van deze richtlijn.

In voorkomend geval en om onnodige verstoringen te voorkomen, moet bij de omzetting van deze richtlijn rekening worden gehouden met de bestaande nationale richtsnoeren die zijn vastgesteld voor de omzetting van de in de artikelen 40 en 41 van Richtlijn (EU) 2018/1972 vastgestelde regels met betrekking tot beveiligingsmaatregelen, waarbij moet worden voortgebouwd op de uit hoofde van Richtlijn (EU) 2018/1972 opgedane kennis en vaardigheden inzake beveiligingsmaatregelen en meldingen van incidenten. Enisa kan ook richtsnoeren inzake beveiligingseisen en inzake rapportageverplichtingen opstellen voor aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten, om de harmonisatie en overgang te vergemakkelijken en verstoringen tot een minimum te beperken. De lidstaten kunnen de rol van de bevoegde autoriteiten voor elektronische communicatie toewijzen aan de nationale regelgevende instanties uit hoofde van Richtlijn (EU) 2018/1972 om de voortzetting van de huidige praktijken te waarborgen en voort te bouwen op de met de uitvoering van die richtlijn opgedane kennis en ervaring.

Gezien het toenemende belang van nummeronafhankelijke interpersoonlijke communicatiediensten als gedefinieerd in Richtlijn (EU) 2018/1972, moet ervoor worden gezorgd dat ook voor dergelijke diensten passende beveiligingseisen gelden, gelet op hun specifieke aard en economisch belang. Nu het aanvalsoppervlak blijft groeien, worden nummeronafhankelijke interpersoonlijke communicatiediensten, zoals berichtendiensten, wijdverbreide aanvalsvectoren. Kwaadwillende daders maken gebruik van platforms om te communiceren met slachtoffers en hen ertoe aan te zetten gecompromitteerde webpagina's te openen, waardoor de kans toeneemt op incidenten waarbij onrechtmatig gebruik van persoonsgegevens en, bij uitbreiding, de beveiliging van netwerk- en informatiesystemen betrokken is. Aanbieders van nummeronafhankelijke interpersoonlijke communicatiediensten moeten zorgen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op de risico's. Aangezien aanbieders van nummeronafhankelijke interpersoonlijke communicatiediensten normaal gesproken geen daadwerkelijke controle uitoefenen op de overdracht van signalen over netwerken, kunnen de risico's in sommige opzichten als lager worden beschouwd voor dergelijke diensten dan voor traditionele elektronischecommunicatiediensten. Hetzelfde geldt voor interpersoonlijke communicatiediensten als gedefinieerd in Richtlijn (EU) 2018/1972 die gebruikmaken van nummers en die geen daadwerkelijke controle uitoefenen op de signaaloverdracht.

De interne markt is meer dan ooit afhankelijk van het functioneren van het internet. De diensten van vrijwel alle essentiële en belangrijke entiteiten zijn afhankelijk van via het internet verleende diensten. Om voor een soepele dienstverlening door essentiële en belangrijke entiteiten te zorgen, is het van belang dat alle aanbieders van openbare elektronischecommunicatienetwerken over passende maatregelen voor het beheer van cyberbeveiligingsrisico's beschikken en significante incidenten in verband daarmee melden. De lidstaten moeten ervoor zorgen dat de beveiliging van de openbare elektronischecommunicatienetwerken wordt gehandhaafd en dat hun wezenlijke veiligheidsbelangen worden beschermd tegen sabotage en spionage. Aangezien de internationale connectiviteit de op het concurrentievermogen gerichte digitalisering van de Unie en haar economie verbetert en versnelt, moeten incidenten in verband met onderzeese communicatiekabels worden gemeld aan het CSIRT of, in voorkomend geval, de bevoegde autoriteit. De nationale cyberbeveiligingsstrategie moet in voorkomend geval worden afgestemd op de cyberbeveiliging van onderzeese communicatiekabels en om het hoogste niveau van bescherming daarvan te waarborgen, moet zij een inventarisatie omvatten van mogelijke cyberbeveiligingsrisico's en beperkende maatregelen.

Om de beveiliging van openbare elektronischecommunicatienetwerken en openbare elektronischecommunicatiediensten te waarborgen, moet het gebruik van encryptietechnologieën, met name eind-tot-eindcodering evenals gegevensgerichte beveiligingsconcepten, zoals cartografie, segmentatie, markeringen, toegangsbeleid en -beheer, en geautomatiseerde toegangsbesluiten, worden bevorderd. Waar nodig moet het gebruik van encryptie, met name eind-tot-eindcodering, verplicht worden gesteld voor aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten, overeenkomstig de beginselen van beveiliging en privacy, standaard en door het ontwerp, voor de doeleinden van deze richtlijn. Het gebruik van eind-tot-eindcodering moet aansluiten op de bevoegdheden van de lidstaten om de bescherming van hun wezenlijke veiligheidsbelangen en de openbare veiligheid te waarborgen en om de preventie, het onderzoek, de opsporing en de vervolging van strafbare feiten overeenkomstig het Unierecht mogelijk te maken. Dit mag echter niet leiden tot verzwakking van de eind-tot-eindcodering, een kritieke technologie met het oog op een doeltreffende gegevensbescherming en privacy en beveiliging van de communicatie.

Om de beveiliging van openbare elektronischecommunicatienetwerken en openbare elektronischecommunicatiediensten te waarborgen en misbruik en manipulatie te voorkomen, moet het gebruik van normen voor veilige routering worden bevorderd om de integriteit en robuustheid van routeringsfuncties in het ecosysteem van aanbieders van internettoegangsdiensten te waarborgen.

Om de functionaliteit en integriteit van het internet te waarborgen en de beveiliging en weerbaarheid van het DNS te bevorderen, moeten de relevante belanghebbenden, waaronder entiteiten uit de particuliere sector in de Unie, aanbieders van openbare elektronischecommunicatiediensten, met name aanbieders van internettoegangsdiensten en aanbieders van onlinezoekmachines, worden aangespoord om een strategie voor diversificatie van de DNS-omzetting vast te stellen. Daarnaast moeten de lidstaten de ontwikkeling en het gebruik van een openbare en beveiligde Europese dienst voor DNS-omzetting bevorderen.

Deze richtlijn voorziet in een aanpak in meerdere fasen van de melding van significante incidenten om het juiste evenwicht te vinden tussen enerzijds een snelle melding die de potentiële verspreiding van significante incidenten helpt te beperken en essentiële en belangrijke entiteiten in staat stelt om bijstand te vragen, en anderzijds een grondige melding die het mogelijk maakt waardevolle lessen te trekken uit afzonderlijke incidenten en mettertijd de digitale weerbaarheid van afzonderlijke entiteiten en hele sectoren verbetert. In dat verband moet deze richtlijn ook de melding omvatten van incidenten die, op basis van een door de betrokken entiteit uitgevoerde initiële beoordeling, ernstige operationele verstoring van de dienstverlening of financiële verliezen voor die entiteit kunnen veroorzaken of andere natuurlijke of rechtspersonen kunnen treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Bij een dergelijke initiële beoordeling moet rekening worden gehouden met onder meer de getroffen netwerk- en informatiesystemen, en met name het belang daarvan voor de door de entiteit verleende diensten, de ernst en technische kenmerken van een cyberdreiging en eventuele onderliggende kwetsbaarheden die worden uitgebuit, alsook de ervaring van de entiteit met soortgelijke incidenten. Indicatoren zoals de mate waarin de werking van de dienst wordt aangetast, de duur van een incident of het aantal getroffen afnemers van de diensten kunnen van belang zijn om vast te stellen of er sprake is van een ernstige operationele verstoring van de dienst.

Wanneer essentiële of belangrijke entiteiten zich bewust worden van een significant incident, moeten zij verplicht worden onverwijld en in elk geval binnen 24 uur een vroegtijdige waarschuwing te verstrekken. Die vroegtijdige waarschuwing moet worden gevolgd door de melding van het incident. De betrokken entiteiten moeten onverwijld en in elk geval binnen 72 uur nadat zij zich bewust worden van een significant incident, melding doen van dat incident, met name om de informatie bij te werken die bij de vroegtijdige waarschuwing is ingediend en om een initiële beoordeling van het significante incident kenbaar te maken, met inbegrip van de ernst en de gevolgen ervan, alsook, indien beschikbaar, indicatoren voor aantasting. Uiterlijk een maand na de melding van het incident moet een eindverslag worden ingediend. De vroegtijdige waarschuwing mag enkel de informatie bevatten die noodzakelijk is om het CSIRT of, in voorkomend geval, de bevoegde autoriteit op de hoogte te brengen van het significante incident en de betrokken entiteit in staat te stellen om indien nodig bijstand te vragen. In voorkomend geval moet bij deze vroegtijdige waarschuwing worden aangegeven of het significante incident vermoedelijk door onrechtmatige of kwaadwillige handelingen is veroorzaakt en of het waarschijnlijk grensoverschrijdende gevolgen heeft. De lidstaten moeten ervoor zorgen dat de verplichting om die vroegtijdige waarschuwing of de daaropvolgende melding van het incident in te dienen de middelen van de meldende entiteit niet afleidt van activiteiten die verband houden met de behandeling van het incident en die als prioritair moeten worden aangemerkt, teneinde te voorkomen dat de verplichtingen inzake de melding van incidenten middelen onttrekken aan de respons op significante incidenten of de inspanningen van de entiteit op dat gebied anderszins in gevaar brengen. Indien het incident nog aan de gang is op het moment dat het eindverslag wordt ingediend, moeten de lidstaten ervoor zorgen dat de betrokken entiteiten op dat moment een voortgangsverslag indienen en binnen één maand nadat het significante incident is afgehandeld, een eindverslag indienen.

In voorkomend geval moeten essentiële en belangrijke entiteiten de ontvangers van hun diensten onverwijld in kennis stellen van alle maatregelen of voorzieningen die hun ter beschikking staan om de uit een significante cyberdreiging voortvloeien risico's te beperken. In voorkomend geval, en met name wanneer de significante cyberdreigingen waarschijnlijk tot incidenten zullen leiden, moeten die entiteiten de ontvangers van hun dienst ook op de hoogte brengen van de dreiging zelf. De eis om die ontvangers van significante cyberdreigingen op de hoogte te brengen, moet naar best vermogen in acht worden genomen, maar mag de entiteiten niet ontslaan van de verplichting om op eigen kosten passende en onmiddellijke maatregelen te nemen om dergelijke dreigingen te voorkomen of te verhelpen en het normale beveiligingsniveau van de dienst te herstellen. Dergelijke informatie over significante cyberdreigingen aan de ontvangers van de dienst moet gratis worden verstrekt en in gemakkelijk te begrijpen taal worden opgesteld.

De aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten moeten standaard en door het ontwerp beveiliging bieden en hun dienstontvangers op de hoogte brengen van significante cyberdreigingen en van de maatregelen die zij kunnen nemen om de beveiliging van hun apparaten en communicatie te beschermen, bijvoorbeeld door gebruik te maken van specifieke soorten software of encryptietechnologieën.

Een proactieve aanpak van cyberdreigingen is een onmisbaar onderdeel van het beheer van cyberbeveiligingsrisico's en moet ervoor zorgen dat de bevoegde autoriteiten daadwerkelijk kunnen voorkomen dat cyberdreigingen tot incidenten leiden die aanzienlijke materiële of immateriële schade kunnen veroorzaken. Daartoe is het van cruciaal belang dat cyberdreigingen worden gemeld. Daarom worden de entiteiten aangespoord om op vrijwillige basis melding te maken van cyberdreigingen.

Om de rapportage van de krachtens deze richtlijn vereiste informatie te vereenvoudigen en de administratieve lasten voor entiteiten te verminderen, moeten de lidstaten technische middelen ter beschikking stellen, zoals één centraal contactpunt, geautomatiseerde systemen, onlineformulieren, gebruikersvriendelijke interfaces, modellen en specifieke platforms ten behoeve van entiteiten, ongeacht of zij binnen het toepassingsgebied van deze richtlijn vallen, voor de indiening van de relevante te rapporteren informatie. De Uniefinanciering ter ondersteuning van de uitvoering van deze richtlijn, met name in het kader van het programma Digitaal Europa, dat is vastgesteld bij Verordening (EU) 2021/694 van het Europees Parlement en de Raad (21), kan steun voor centrale contactpunten omvatten. Bovendien bevinden entiteiten zich vaak in een situatie waarin een bepaald incident, vanwege de kenmerken ervan, aan verschillende autoriteiten moet worden gemeld als gevolg van meldingsverplichtingen die in verschillende rechtsinstrumenten zijn opgenomen. Dergelijke gevallen creëren extra administratieve lasten en kunnen ook leiden tot onzekerheden met betrekking tot het format en de procedures van dergelijke meldingen. Wanneer één enkel toegangspunt is ingesteld, worden de lidstaten aangespoord om dat ene centrale toegangspunt ook te gebruiken voor de melding van beveiligingsincidenten als vereist krachtens ander Unierecht zoals Verordening (EU) 2016/679 en Richtlijn 2002/58/EG. Het gebruik van het ene centrale contactpunt voor de melding van beveiligingsincidenten krachtens Verordening (EU) 2016/679 en Richtlijn 2002/58/EG mag geen afbreuk doen aan de toepassing van de bepalingen van Verordening (EU) 2016/679 en Richtlijn 2002/58/EG, en met name de bepalingen met betrekking tot de onafhankelijkheid van de daarin bedoelde autoriteiten. Enisa moet, in samenwerking met de samenwerkingsgroep, gemeenschappelijke meldingsmodellen ontwikkelen door middel van richtsnoeren om de krachtens het Unierecht te rapporteren informatie te vereenvoudigen en te stroomlijnen en de administratieve lasten voor meldende entiteiten te verminderen.

Wanneer het vermoeden bestaat dat een incident verband houdt met ernstige criminele activiteiten op grond van het Unie- of nationale recht, moeten de lidstaten essentiële en belangrijke entiteiten aansporen om, op basis van de toepasselijke regels voor strafrechtelijke procedures overeenkomstig het Unierecht, incidenten met een vermoedelijk ernstig crimineel karakter aan de betrokken rechtshandhavingsinstanties te melden. In voorkomend geval en onverminderd de voor Europol geldende regels inzake de bescherming van persoonsgegevens is het wenselijk dat de coördinatie tussen de bevoegde autoriteiten en de rechtshandhavingsinstanties van de verschillende lidstaten wordt vergemakkelijkt door het Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) en Enisa.

Persoonsgegevens worden in veel gevallen in gevaar gebracht als gevolg van incidenten. In dat verband moeten de bevoegde autoriteiten samenwerken en informatie uitwisselen over alle relevante aangelegenheden met de in Verordening (EU) 2016/679 en Richtlijn 2002/58/EG bedoelde autoriteiten.

Het onderhouden van nauwkeurige en volledige databases van domeinnaamregistratiegegevens (‘WHOIS-gegevens’) en het verlenen van rechtmatige toegang tot dergelijke gegevens is essentieel om de beveiliging, stabiliteit en weerbaarheid van het DNS te waarborgen, wat op zijn beurt bijdraagt tot een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie. Voor dat specifieke doel moeten registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, verplicht worden bepaalde gegevens te verwerken die daartoe nodig zijn. Een dergelijke verwerking moet een wettelijke verplichting vormen in de zin van artikel 6, lid 1, punt c), van Verordening (EU) 2016/679. Die verplichting doet geen afbreuk aan de mogelijkheid om domeinnaamregistratiegegevens voor andere doeleinden te verzamelen, bijvoorbeeld op basis van in ander Unierecht of in het nationale recht vastgestelde wettelijke eisen of contractuele regelingen. Die verplichting heeft tot doel te komen tot een volledige en nauwkeurige reeks registratiegegevens en mag niet ertoe leiden dat dezelfde gegevens meermaals worden verzameld. Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten met elkaar samenwerken om dubbel werk te voorkomen.

De beschikbaarheid en tijdige toegankelijkheid van domeinnaamregistratiegegevens voor verzoekers om legitieme toegang is van essentieel belang om misbruik van het DNS te voorkomen en te bestrijden en om incidenten te voorkomen, op te sporen en erop te reageren. Onder verzoeker om legitieme toegang wordt verstaan elke natuurlijke of rechtspersoon die een verzoek indient krachtens het Unie- of nationale recht. Het kan gaan om autoriteiten die uit hoofde van deze richtlijn bevoegd zijn en om autoriteiten die krachtens het Unie- of nationale recht bevoegd zijn voor het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten, evenals om CERT's of CSIRT's. Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten worden verplicht om rechtmatige toegang tot specifieke domeinnaamregistratiegegevens, die nodig zijn voor de doeleinden van het toegangsverzoek, te verlenen aan verzoekers om legitieme toegang, overeenkomstig het Unierecht en het nationale recht. Het verzoek van verzoekers om legitieme toegang moet vergezeld gaan van een motivering aan de hand waarvan kan worden beoordeeld of toegang tot de gegevens noodzakelijk is.

Om de beschikbaarheid van nauwkeurige en volledige domeinnaamregistratiegegevens te waarborgen, moeten registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen , domeinnaamregistratiegegevens verzamelen en de integriteit en beschikbaarheid ervan waarborgen. Met name registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten beleid en procedures vaststellen om nauwkeurige en volledige domeinnaamregistratiegegevens te verzamelen en bij te houden en om onjuiste registratiegegevens te voorkomen en te corrigeren, in overeenstemming met het Uniegegevensbeschermingsrecht. Uit hoofde van dat beleid en die procedures moet zoveel mogelijk rekening worden gehouden met de normen die zijn ontwikkeld door de structuren voor multistakeholdergovernance op internationaal niveau. Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten evenredige procedures vaststellen en toepassen om domeinnaamregistratiegegevens te verifiëren. Die procedures moeten de beste praktijken in het bedrijfsleven en, voor zover mogelijk, de vooruitgang op het gebied van elektronische identificatie weerspiegelen. Voorbeelden van verificatieprocedures kunnen betrekking hebben op controles vooraf die worden uitgevoerd bij de registratie, en controles achteraf die worden uitgevoerd na de registratie. De registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, moeten met name ten minste een van de manieren om met de registrant contact op te nemen, verifiëren.

Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten worden verplicht domeinnaamregistratiegegevens die buiten het toepassingsgebied van het Uniegegevensbeschermingsrecht vallen openbaar te maken, zoals gegevens die betrekking hebben op rechtspersonen, overeenkomstig de preambule van Verordening (EU) 2016/679. Voor rechtspersonen moeten registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen ten minste de naam en het telefoonnummer van de registrant openbaar maken. Ook het e-mailadres moet bekend worden gemaakt, op voorwaarde dat het geen persoonsgegevens bevat, zoals bij e-mailaliassen of functionele mailboxen. Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten ook rechtmatige toegang tot specifieke domeinnaamregistratiegegevens over natuurlijke personen verlenen aan verzoekers om legitieme toegang, overeenkomstig het Uniegegevensbeschermingsrecht. De lidstaten moeten van registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, verlangen dat zij onverwijld reageren op verzoeken van verzoekers om legitieme toegang om openbaarmaking van domeinnaamregistratiegegevens. Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, moeten beleid en procedures vaststellen voor de bekendmaking en openbaarmaking van registratiegegevens, met inbegrip van overeenkomsten inzake het dienstverleningsniveau voor de behandeling van verzoeken om toegang van verzoekers om legitieme toegang. In het kader van dat beleid en die procedures moet zoveel mogelijk rekening worden gehouden met alle richtsnoeren en met de normen die zijn ontwikkeld door de structuren voor multistakeholdergovernance op internationaal niveau. De toegangsprocedure kan het gebruik van een interface, een portaal of een ander technisch hulpmiddel omvatten om een efficiënt systeem te bieden voor het aanvragen en raadplegen van registratiegegevens. Met het oog op de bevordering van geharmoniseerde praktijken in de gehele interne markt kan de Commissie zonder afbreuk te doen aan de bevoegdheden van het Europees Comité voor gegevensbescherming richtsnoeren voor dergelijke procedures bepalen, waarin zoveel mogelijk rekening wordt gehouden met de normen die zijn ontwikkeld door de structuren voor multistakeholdergovernance op internationaal niveau. De lidstaten moeten ervoor zorgen dat alle vormen van toegang tot persoonsgebonden en niet-persoonsgebonden domeinnaamregistratiegegevens gratis zijn.

Binnen het toepassingsgebied van deze richtlijn vallende entiteiten moeten worden geacht te vallen onder de jurisdictie van de lidstaat waar zij zijn gevestigd. Aanbieders van openbare elektronischecommunicatienetwerken of aanbieders van openbare elektronischecommunicatiediensten moeten evenwel worden geacht te vallen onder de jurisdictie van de lidstaat waar zij hun diensten verlenen. DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten moeten worden geacht te vallen onder de jurisdictie van de lidstaat waar zij hun hoofdvestiging in de Unie hebben. Overheidsinstanties moeten vallen onder de jurisdictie van de lidstaat die ze heeft opgericht. Indien de entiteit diensten verleent of gevestigd is in meer dan één lidstaat, moet zij vallen onder de afzonderlijke en gelijktijdige jurisdictie van elk van die lidstaten. De bevoegde autoriteiten van die lidstaten moeten samenwerken, elkaar wederzijds bijstand verlenen en, in voorkomend geval, gezamenlijke toezichtsacties uitvoeren. Wanneer lidstaten hun jurisdictie uitoefenen, mogen zij overeenkomstig het ne bis in idem-beginsel niet meer dan één keer handhavingsmaatregelen of sancties opleggen voor dezelfde gedraging.

Om rekening te houden met het grensoverschrijdende karakter van de diensten en activiteiten van DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, mag slechts één lidstaat jurisdictie hebben over die entiteiten. Deze jurisdictie moet worden toegekend aan de lidstaat waar de betrokken entiteit haar hoofdvestiging in de Unie heeft. Het vestigingscriterium voor de toepassing van deze richtlijn houdt de daadwerkelijke uitoefening van de activiteit in door middel van stabiele regelingen. De rechtsvorm van dergelijke regelingen, hetzij via een filiaal, hetzij via een dochteronderneming met rechtspersoonlijkheid, is in dat opzicht geen bepalende factor. Of aan dat criterium wordt voldaan, mag niet afhangen van de vraag of de netwerk- en informatiesystemen zich fysiek op een bepaalde plaats bevinden; de aanwezigheid en het gebruik van dergelijke systemen vormen op zich niet een dergelijke hoofdvestiging en zijn dus geen doorslaggevende criteria voor het bepalen van de hoofdvestiging. De hoofdvestiging moet geacht worden zich te bevinden in de lidstaat waar de besluiten met betrekking tot de risicobeheersmaatregelen op het gebied van cyberbeveiliging hoofdzakelijk worden genomen in de Unie. Dit zal doorgaans overeenkomen met de plaats van de centrale administratie van de entiteiten in de Unie. Indien niet kan worden bepaald welke lidstaat dat is of indien dergelijke besluiten niet in de Unie worden genomen, moet de hoofdvestiging worden geacht zich te bevinden in de lidstaat waar cyberbeveiligingsactiviteiten worden uitgevoerd. Indien niet kan worden bepaald welke lidstaat dat is, moet de hoofdvestiging worden geacht zich te bevinden in de lidstaat waar de entiteit de vestiging met het grootste aantal werknemers in de Unie heeft. Wanneer de diensten door een groep van ondernemingen worden verricht, moet de hoofdvestiging van de zeggenschap uitoefenende onderneming worden beschouwd als de hoofdvestiging van de groep van ondernemingen.

Indien een aanbieder van openbare elektronischecommunicatienetwerken of openbare elektronischecommunicatiediensten een openbare recursieve DNS-dienst enkel verricht als onderdeel van de internettoegangsdienst, moet de entiteit worden geacht te vallen onder de jurisdictie van alle lidstaten waar haar diensten worden verleend.

Indien een DNS-dienstverlener, een register voor topleveldomeinnamen, een entiteiten die domeinnaamregistratiediensten verleent, een aanbieder van cloudcomputingdiensten, een aanbieder van datacentra, een aanbieder van netwerken voor de levering van inhoud, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten, of een aanbieder van een onlinemarktplaats, van een onlinezoekmachine of van een platform voor socialenetwerkdiensten, niet in de Unie is gevestigd maar diensten in de Unie aanbiedt, moet deze een vertegenwoordiger in de Unie aanduiden. Om te bepalen of een dergelijke entiteit diensten binnen de Unie aanbiedt, moet worden nagegaan of de entiteit van plan is diensten aan te bieden aan personen in een of meer lidstaten. De loutere toegankelijkheid in de Unie van de website van de entiteit of van een tussenpersoon, of van een e-mailadres of van andere contactgegevens, of het gebruik van een taal die algemeen wordt gebruikt in het derde land waar de entiteit is gevestigd, moet als zodanig onvoldoende worden geacht om een dergelijk voornemen vast te stellen. Factoren zoals het gebruik van een taal of een valuta die in een of meer lidstaten algemeen wordt gebruikt en de mogelijkheid om diensten in die taal te bestellen, of de vermelding van klanten of gebruikers die zich in de Unie bevinden, kunnen echter duidelijk maken dat de entiteit van plan is om diensten binnen de Unie aan te bieden. De vertegenwoordiger moet namens de entiteit optreden en de bevoegde autoriteiten of de CSIRT's moeten zich kunnen wenden tot de vertegenwoordiger. De vertegenwoordiger moet uitdrukkelijk bij schriftelijke opdracht van de entiteit worden aangewezen om namens de entiteit op te treden met betrekking tot in deze richtlijn vastgelegde verplichtingen, met inbegrip van de melding van incidenten.

Ten behoeve van een duidelijk overzicht van DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, die in de gehele Unie binnen het toepassingsgebied van deze richtlijn vallende diensten verlenen, moet Enisa zorgen voor de oprichting en het beheer van een register van dergelijke entiteiten, gebaseerd op de door lidstaten verstrekte informatie en indien nodig met behulp van nationale mechanismen voor zelfregistratie door entiteiten. De centrale contactpunten moeten de informatie en eventuele wijzigingen daarvan doorsturen naar Enisa. Met het oog op de nauwkeurigheid en volledigheid van de informatie die in dit register moet worden opgenomen, kunnen lidstaten Enisa de informatie verstrekken die betreffende die entiteiten beschikbaar is in hun nationale registers. Enisa en de lidstaten moeten maatregelen nemen om de interoperabiliteit van dergelijke registers te bevorderen, en tegelijkertijd de bescherming van vertrouwelijke of gerubriceerde informatie waarborgen. Enisa moet passende protocollen voor de rubricering en het beheer van informatie opstellen om de veiligheid en vertrouwelijkheid van gerapporteerde informatie te garanderen, en de toegang, opslag en doorgifte van die informatie te beperken tot de beoogde gebruikers.

Wanneer er uit hoofde van deze richtlijn informatie wordt uitgewisseld, gerapporteerd of anderszins gedeeld die volgens het Unie- of nationale recht gerubriceerd is, moet toepassing worden gemaakt van de desbetreffende regels voor de behandeling van gerubriceerde informatie. Bovendien moet Enisa over de benodigde infrastructuur, procedures en regels beschikken om gevoelige en gerubriceerde informatie te kunnen verwerken overeenkomstig de toepasselijke beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie.

Aangezien cyberdreigingen complexer en geavanceerder worden, zijn een goede opsporing van dergelijke dreigingen en preventiemaatregelen dienaangaande voor een groot deel afhankelijk van het regelmatige delen van inlichtingen over dreigingen en kwetsbaarheden tussen entiteiten. Het delen van informatie draagt bij aan een grotere bewustwording van cyberdreigingen, wat op zijn beurt het vermogen van entiteiten om te voorkomen dat zulke dreigingen tot echte incidenten leiden, vergroot en entiteiten in staat stelt om de gevolgen van incidenten beter in te dammen en efficiënter te herstellen. Bij gebrek aan richtsnoeren op Unieniveau lijken verschillende factoren een dergelijk delen van inlichtingen te hebben afgeremd, met name de onzekerheid over de verenigbaarheid met de mededingings- en aansprakelijkheidsregels.

Entiteiten moeten worden aangemoedigd en bijgestaan door de lidstaten om hun individuele kennis en praktische ervaring op strategisch, tactisch en operationeel niveau collectief te benutten met het oog op de verbetering van hun capaciteiten om incidenten adequaat te voorkomen, op te sporen, er een antwoord op te bieden, ervan te herstellen of de impact ervan af te beperken. Het is dus noodzakelijk om op Unieniveau de opkomst van vrijwillige regelingen voor het delen van cyberbeveiligingsinformatie mogelijk te maken. Daarom moeten de lidstaten entiteiten, zoals die welke cyberbeveiligingsdiensten en -onderzoek aanbieden, alsook niet binnen het toepassingsgebied van deze richtlijn vallende relevante entiteiten, actief bijstaan en aanmoedigen om deel te nemen aan dergelijke regelingen voor het delen van cyberbeveiligingsinformatie. Deze regelingen moeten in overeenstemming zijn met de mededingingsregels van de Unie en het Uniegegevensbeschermingsrecht.

De verwerking van persoonsgegevens, voor zover noodzakelijk en evenredig met het oog op de beveiliging van netwerk- en informatiesystemen door essentiële en belangrijke entiteiten, kan als rechtmatig worden beschouwd op grond van het feit dat dergelijke verwerking voldoet aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke onderworpen is overeenkomstig de eisen van artikel 6, lid 1, punt c), en artikel 6, lid 3, van Verordening (EU) 2016/679. De verwerking van persoonsgegevens kan ook noodzakelijk zijn voor de behartiging van de gerechtvaardigde belangen van essentiële en belangrijke entiteiten, alsook van aanbieders van beveiligingstechnologieën en -diensten die namens die entiteiten optreden, op grond van artikel 6, lid 1, punt f), van Verordening (EU) 2016/679, onder meer wanneer een dergelijke verwerking noodzakelijk is voor regelingen voor het delen van cyberbeveiligingsinformatie of de vrijwillige melding van relevante informatie overeenkomstig deze richtlijn. Maatregelen met betrekking tot de preventie, opsporing, identificatie, indamming en analyse van incidenten en de reactie erop, maatregelen om het bewustzijn met betrekking tot specifieke cyberdreigingen te vergroten, uitwisseling van informatie in het kader van herstel van de kwetsbaarheid en gecoördineerde openbaarmaking van de kwetsbaarheid, de vrijwillige uitwisseling van informatie over die incidenten, alsmede cyberdreigingen en kwetsbaarheden, indicatoren voor aantasting, tactieken, technieken en procedures, cyberbeveiligingswaarschuwingen en configuratiehulpmiddelen kunnen de verwerking vereisen van bepaalde categorieën persoonsgegevens, zoals IP-adressen, uniforme resources locators (URL's), domeinnamen, e-mailadressen en, voor zover hieruit persoonsgegevens blijken, tijdstempels. De verwerking van persoonsgegevens door de bevoegde autoriteiten, de centrale contactpunten en de CSIRT's kan een wettelijke verplichting vormen of noodzakelijk worden geacht voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen op grond van artikel 6, lid 1, punt c) of e), en artikel 6, lid 3, van Verordening (EU) 2016/679, of voor de behartiging van een gerechtvaardigd belang van de essentiële en belangrijke entiteiten als bedoeld in artikel 6, lid 1, punt f), van die verordening. Voorts kunnen in het nationale recht regels worden vastgesteld die het de bevoegde autoriteiten, de centrale contactpunten en de CSIRT's, voor zover noodzakelijk en evenredig ten behoeve van het waarborgen van de beveiliging van netwerk- en informatiesystemen van essentiële en belangrijke entiteiten, toelaten om bijzondere categorieën van persoonsgegevens te verwerken overeenkomstig artikel 9 van Verordening (EU) 2016/679, met name door te voorzien in passende en specifieke maatregelen ter bescherming van de grondrechten en de belangen van natuurlijke personen, met inbegrip van technische beperkingen op het hergebruik van dergelijke gegevens en het gebruik van geavanceerde beveiligings- en privacybeschermingsmaatregelen, zoals pseudonimisering, of versleuteling wanneer anonimisering het nagestreefde doel aanzienlijk kan beïnvloeden.

Ter versterking van de toezichtsbevoegdheden en -maatregelen die bijdragen tot een doeltreffende naleving, moet deze richtlijn voorzien in een minimumlijst van toezichtsmaatregelen en -middelen waarmee de bevoegde autoriteiten toezicht kunnen houden op essentiële en belangrijke entiteiten. Bovendien moet in deze richtlijn een onderscheid worden gemaakt tussen de toezichtsregeling voor essentiële en voor belangrijke entiteiten, teneinde te zorgen voor een billijk evenwicht tussen de verplichtingen voor die entiteiten en voor de bevoegde autoriteiten. Derhalve moeten essentiële entiteiten worden onderworpen aan een alomvattende regeling voor toezicht vooraf en achteraf, terwijl belangrijke entiteiten slechts moeten worden onderworpen aan een lichte regeling voor toezicht, uitsluitend achteraf. Van belangrijke entiteiten mag daarom niet worden verlangd dat zij systematisch de naleving van de risicobeheersmaatregelen op het gebied van cyberbeveiliging documenteren, aangezien de bevoegde autoriteiten het toezicht reactief en achteraf moeten uitvoeren en dus geen algemene verplichting hebben om toezicht te houden op die entiteiten. Het toezicht achteraf ten aanzien van belangrijke entiteiten kan worden geactiveerd wanneer bewijzen, aanwijzingen of informatie onder de aandacht van de bevoegde autoriteiten zijn gebracht en deze door die autoriteiten worden geacht te wijzen op mogelijke inbreuken op deze richtlijn. Dergelijke bewijzen, aanwijzingen of informatie kunnen bijvoorbeeld van het type zijn dat door andere autoriteiten, entiteiten, burgers, media of andere bronnen aan de bevoegde autoriteiten wordt verstrekt, kunnen openbaar beschikbare informatie zijn, of kunnen voortkomen uit andere werkzaamheden die de bevoegde autoriteiten in het kader van de uitvoering van hun taken verrichten.

De uitvoering van toezichthoudende taken door de bevoegde autoriteiten mag de bedrijfsactiviteiten van de betrokken entiteit niet onnodig belemmeren. Wanneer de bevoegde autoriteiten hun toezichthoudende taken met betrekking tot essentiële entiteiten uitvoeren, met inbegrip van het uitvoeren van inspecties ter plaatse en toezicht buiten de locatie, het onderzoeken van inbreuken op deze richtlijn, en het uitvoeren van beveiligingsaudits of beveiligingsscans, moeten zij de gevolgen voor de bedrijfsactiviteiten van de betrokken entiteit tot een minimum beperken.

Bij de uitoefening van het toezicht vooraf moeten de bevoegde autoriteiten op evenredige wijze kunnen beslissen over de prioritering van het gebruik van de toezichtsmaatregelen en -middelen waarover zij beschikken. Dit houdt in dat de bevoegde autoriteiten over dergelijke prioritering kunnen beslissen op basis van toezichtsmethoden die een risicogebaseerde benadering moeten volgen. Meer in het bijzonder kan het bij dergelijke methoden gaan om criteria of benchmarks voor de indeling van essentiële entiteiten in risicocategorieën en overeenkomstige toezichtsmaatregelen en -middelen die per risicocategorie worden aanbevolen, zoals het gebruik, de frequentie of de soorten van inspecties ter plaatse, gerichte beveiligingsaudits of beveiligingsscans, het soort informatie dat moet worden opgevraagd en de mate van gedetailleerdheid van die informatie. Dergelijke toezichtsmethoden kunnen ook vergezeld gaan van werkprogramma's en regelmatig worden beoordeeld en geëvalueerd, onder meer met betrekking tot aspecten als de middelentoewijzing en de behoeften. Met betrekking tot overheidsinstanties moeten de toezichtsbevoegdheden worden uitgeoefend conform de nationale wetgevende en institutionele kaders.

De bevoegde autoriteiten moeten erop toezien dat hun toezichthoudende taken met betrekking tot essentiële en belangrijke entiteiten worden uitgevoerd door opgeleide beroepsbeoefenaars, die over de noodzakelijke vaardigheden moeten beschikken om die taken uit te voeren, met name inzake het uitvoeren van inspecties ter plaatse en toezicht buiten de locatie, met inbegrip van het opsporen van zwakke punten in databases, hardware, firewalls, encryptie en netwerken. Die inspecties en dat toezicht moeten op objectieve wijze worden uitgevoerd.

In naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit op de hoogte is van een significante cyberdreiging of een imminent risico, moet zij onmiddellijk handhavingsbesluiten kunnen nemen om een incident te voorkomen of erop te reageren.

Om de handhaving doeltreffend te maken, moet er een minimumlijst worden opgesteld van handhavingsbevoegdheden die kunnen worden uitgeoefend bij inbreuken op de bij deze richtlijn vastgestelde risicobeheersmaatregelen en rapportageverplichtingen op het gebied van cyberbeveiliging, waarmee een duidelijk en samenhangend kader voor dergelijke handhaving in de hele Unie wordt geschapen. Er moet terdege rekening worden gehouden met de aard, de ernst en de duur van de inbreuk op deze richtlijn, de veroorzaakte materiële of immateriële schade, het opzettelijke of nalatige karakter van de inbreuk, de maatregelen die zijn genomen om de materiële of immateriële schade te voorkomen of te beperken, de mate van verantwoordelijkheid of eventuele relevante eerdere inbreuken, de mate van samenwerking met de bevoegde autoriteit en elke andere verzwarende of verzachtende omstandigheid. De handhavingsmaatregelen, met inbegrip van administratieve geldboeten, moeten evenredig zijn en het opleggen ervan moet onderworpen worden aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het Handvest van de grondrechten van de Europese Unie (het ‘Handvest’), met inbegrip van het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging.

Deze richtlijn verplicht de lidstaten niet om te voorzien in een aansprakelijkheidsregeling op grond waarvan natuurlijke personen die ervoor moeten zorgen dat een entiteit deze richtlijn naleeft, strafrechtelijk of civielrechtelijk aansprakelijk zijn voor schade die derden als gevolg van een inbreuk op deze richtlijn hebben geleden.

Met het oog op een doeltreffende handhaving van de in deze richtlijn vastgestelde verplichtingen moet elke bevoegde autoriteit de bevoegdheid hebben om administratieve geldboeten op te leggen of om te verzoeken om het opleggen ervan.

Wanneer een administratieve geldboete wordt opgelegd aan een essentiële of belangrijke entiteit die een onderneming is, moet een onderneming voor die doeleinden worden opgevat als een onderneming in de zin van de artikelen 101 en 102 VWEU. Wanneer een administratieve geldboete wordt opgelegd aan een persoon die geen onderneming is, moet de bevoegde autoriteit bij het bepalen van het passende bedrag van de boete rekening houden met het algemene inkomensniveau in de lidstaat en met de economische situatie van de persoon. Het is aan de lidstaten om te bepalen of en in welke mate overheidsinstanties aan administratieve geldboeten moeten worden onderworpen. Het opleggen van een administratieve geldboete doet geen afbreuk aan de toepassing van andere bevoegdheden van de bevoegde autoriteiten of van andere sancties die zijn vastgesteld in de nationale voorschriften tot omzetting van deze richtlijn.

De lidstaten moeten de regels inzake strafrechtelijke sancties voor inbreuken op de interne voorschriften tot omzetting van deze richtlijn kunnen vaststellen. Het opleggen van strafrechtelijke sancties voor inbreuken op dergelijke nationale regels en van daarmee samenhangende administratieve sancties mag echter niet leiden tot een inbreuk op het ‘ne bis in idem’-beginsel, zoals uitgelegd door het Hof van Justitie van de Europese Unie.

Wanneer deze richtlijn niet voorziet in de harmonisatie van administratieve sancties of indien nodig in andere gevallen, bijvoorbeeld bij een ernstige inbreuk op deze richtlijn, moeten de lidstaten een systeem toepassen dat voorziet in doeltreffende, evenredige en afschrikkende sancties. De aard van die sancties en of zij strafrechtelijk of administratief zijn, moet worden bepaald door het nationale recht.

Om de doeltreffendheid en het afschrikkingseffect van de handhavingsmaatregelen die van toepassing zijn op inbreuken op deze richtlijn verder te versterken, moeten de bevoegde overheden gemachtigd worden over te gaan tot een tijdelijke opschorting, of te kunnen verzoeken om tijdelijke opschorting, van een certificering of vergunning voor een deel of het geheel van de door een essentiële entiteit verleende relevante diensten of uitgevoerde activiteiten, en te kunnen verzoeken om het opleggen van een tijdelijk verbod op de uitoefening van bestuursfuncties door een natuurlijke persoon met leidinggevende verantwoordelijkheden op het niveau van de algemeen directeur of de wettelijke vertegenwoordiger. Gezien de ernst en het effect van dergelijke tijdelijke opschortingen of verboden op de activiteiten van de entiteiten en uiteindelijk op hun consumenten, mogen zij alleen worden toegepast in verhouding tot de ernst van de inbreuk en rekening houdend met de specifieke omstandigheden van elk individueel geval, met inbegrip van het opzettelijke of nalatige karakter van de inbreuk, en maatregelen die zijn genomen om de materiële of immateriële schade te voorkomen of te beperken. Dergelijke tijdelijke opschortingen of verboden mogen alleen worden toegepast als ultiem middel, met name alleen nadat de andere in deze richtlijn neergelegde relevante handhavingsmaatregelen zijn uitgeput, en alleen totdat de betrokken entiteit de noodzakelijke stappen zet om de tekortkomingen te verhelpen of te voldoen aan de door de bevoegde autoriteit gestelde eisen waarvoor dergelijke tijdelijke opschortingen of verboden werden toegepast. Het opleggen van dergelijke tijdelijke opschortingen of verboden moet worden onderworpen aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het Handvest, met inbegrip van het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging.

Om ervoor te zorgen dat entiteiten hun in deze richtlijn vastgelegde verplichtingen nakomen, moeten lidstaten met elkaar samenwerken en elkaar bijstaan op het gebied van toezicht- en handhavingsmaatregelen, met name wanneer een entiteit diensten verleent in meer dan één lidstaat of wanneer haar netwerk- en informatiesystemen zich bevinden in een andere lidstaat dan die waar zij diensten verleent. Bij het verlenen van bijstand moet de aangezochte bevoegde autoriteit toezicht- of handhavingsmaatregelen nemen overeenkomstig het nationale recht. Ten behoeve van de vlotte werking van de wederzijdse bijstand uit hoofde van deze richtlijn, moeten de bevoegde autoriteiten de samenwerkingsgroep gebruiken als forum om kwesties en specifieke verzoeken om bijstand te bespreken.

Om te zorgen voor doeltreffend toezicht en doeltreffende handhaving, met name in situaties met een grensoverschrijdende dimensie, moet een lidstaat die een verzoek om wederzijdse bijstand heeft ontvangen, binnen de grenzen van dat verzoek passende toezichts- en handhavingsmaatregelen nemen ten aanzien van de entiteit die het voorwerp van dat verzoek is, en die diensten verleent of over een netwerk- en informatiesysteem op het grondgebied van die lidstaat beschikt.

In deze richtlijn moeten overeenkomstig Verordening (EU) 2016/679 regels worden vastgesteld voor de samenwerking tussen de bevoegde autoriteiten en de toezichthoudende autoriteiten bij de behandeling van inbreuken op deze richtlijn in verband met persoonsgegevens.

Deze richtlijn moet gericht zijn op het waarborgen van een hoge mate van verantwoordelijkheid voor de risicobeheersmaatregelen en rapportageverplichtingen op het gebied van cyberbeveiliging op het niveau van de essentiële en belangrijke entiteiten. Daarom moeten de bestuursorganen van de essentiële en belangrijke entiteiten de risicobeheersmaatregelen op het gebied van cyberbeveiliging goedkeuren en toezicht houden op de uitvoering ervan.

Teneinde te zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie op basis van deze richtlijn, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen tot aanvulling van deze richtlijn door te specificeren welke categorieën essentiële en belangrijke entiteiten moeten worden verplicht bepaalde gecertificeerde ICT-producten, ICT-diensten en ICT-processen te gebruiken of een certificaat te verkrijgen in het kader van een Europese cyberbeveiligingscertificeringsregeling. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven(22). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze richtlijn, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om de procedurele regelingen die nodig zijn voor de werking van de samenwerkingsgroep alsmede de technische, methodologische en sectorale voorschriften met betrekking tot de risicobeheersmaatregelen op het gebied van cyberbeveiliging vast te stellen, en om nadere toelichting te geven over het soort informatie, het format en de procedure voor de melding van incidenten, cyberdreigingen en bijna-incidenten alsook van significante cyberdreigingsberichten, en over gevallen waarin een incident als significant moet worden beschouwd. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (23).

De Commissie moet deze richtlijn op gezette tijden geëvalueerd, na raadpleging van belanghebbenden, met name om vast te stellen of het passend is wijzigingen voor te stellen in het licht van veranderingen in de maatschappelijke, politieke, technologische of marktomstandigheden. In het kader van die evaluaties moet door de Commissie worden beoordeeld wat de relevantie is van de omvang van de betrokken entiteiten, en de in de bijlagen bij deze richtlijn bedoelde sectoren, subsectoren en types van entiteiten voor het functioneren van de economie en de samenleving in samenhang met cyberbeveiliging. De Commissie moet onder meer beoordelen of binnen het toepassingsgebied van deze richtlijn vallende aanbieders die zijn aangewezen als zeer grote onlineplatforms in de zin van artikel 33 van Verordening (EU) 2022/2065 van het Europees Parlement en de Raad (24), kunnen worden aangemerkt als essentiële entiteiten uit hoofde van deze richtlijn.

Deze richtlijn creëert nieuwe taken voor Enisa, waardoor het een grotere rol krijgt, en zou er ook toe kunnen leiden dat Enisa zijn bestaande taken uit hoofde van Verordening (EU) 2019/881 op een hoger niveau dan voorheen moet uitvoeren. Om ervoor te zorgen dat Enisa over de noodzakelijke financiële en personele middelen beschikt om bestaande en nieuwe taken uit te voeren, en om te voldoen aan een hoger uitvoeringsniveau van die taken als gevolg van zijn grotere rol, moet zijn begroting dienovereenkomstig worden verhoogd. Bovendien moet Enisa, met het oog op een efficiënt gebruik van de middelen, meer flexibiliteit krijgen zodat het in staat is middelen intern toe te wijzen om zijn taken doeltreffend uit te voeren en aan de verwachtingen te voldoen.

Daar de doelstelling van deze richtlijn, namelijk het bereiken van een hoog gemeenschappelijk niveau van cyberbeveiliging in de gehele Unie, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de gevolgen van het optreden beter door de Unie kan worden bereikt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie bepaalde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstelling te verwezenlijken.

Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die bij het Handvest zijn erkend, met name het recht op de eerbiediging van het privéleven en communicatie, het recht op de bescherming van persoonsgegevens, de vrijheid van ondernemerschap, het recht op eigendom, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging. Het recht op een doeltreffende voorziening in rechte geldt ook voor de ontvangers van door essentiële en belangrijke entiteiten verleende diensten. Deze richtlijn moet worden uitgevoerd overeenkomstig die rechten en beginselen.

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (25) en heeft op 11 maart 2021 advies uitgebracht (26),