Aanhef

In de onderling steeds afhankelijker wordende economie van de Unie spelen kritieke entiteiten, als aanbieders van essentiële diensten, een onontbeerlijke rol bij het behoud van vitale maatschappelijke functies of economische activiteiten op de interne markt. Het is daarom essentieel een Uniekader vast te stellen met het doel om kritieke entiteiten op de interne markt enerzijds weerbaarder te maken door geharmoniseerde minimumvoorschriften vast te stellen en anderzijds te helpen door middel van coherente en gerichte ondersteunende en toezichtmaatregelen.

Richtlijn 2008/114/EG van de Raad (4) voorziet in een procedure voor het aanwijzen van Europese kritieke infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. Die richtlijn is uitsluitend gericht op de bescherming van dergelijke infrastructuren. De in 2019 verrichte evaluatie van Richtlijn 2008/114/EG wees echter uit dat door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten waarbij gebruik wordt gemaakt van de kritieke infrastructuur, beschermende maatregelen met betrekking tot louter individuele activa niet volstaan om alle verstoringen te voorkomen. Die aanpak moet dan ook worden verruild voor een aanpak waarin meer oog is voor de risico's, waarin de rol en plichten van kritieke entiteiten die diensten aanbieden die essentieel zijn voor de werking van de interne markt, beter worden omschreven en samenhangend zijn en waarin Unieregels worden vastgesteld om de weerbaarheid van kritieke entiteiten te vergroten. Kritieke entiteiten moeten derhalve beter in staat zijn om incidenten die de verlening van essentiële diensten kunnen verstoren, te voorkomen, te bestrijden, te beperken, te beheersen, en om bescherming te bieden of bestand te zijn tegen, of zich aan te passen aan die incidenten of daarvan te herstellen.

Hoewel er momenteel een aantal maatregelen van kracht zijn die tot doel hebben de bescherming van kritieke infrastructuur in de Unie te ondersteunen, op zowel het nationaal niveau als op het niveau van de Unie, zoals het Europees programma voor de bescherming van kritieke infrastructuur, zou er meer moeten worden gedaan om de entiteiten die een dergelijke infrastructuur exploiteren beter toe te rusten om het hoofd te bieden aan de risico's die de verlening van essentiële diensten zouden kunnen verstoren. Ook moet meer worden gedaan om die entiteiten beter toe te rusten omdat er sprake is van een dynamisch dreigingslandschap, met onder andere veranderende hybride en terroristische dreigingen en toenemende onderlinge afhankelijkheid tussen infrastructuur en sectoren. Bovendien is er een toenemend fysiek risico wegens natuurrampen en klimaatverandering, waardoor zich vaker en op grotere schaal extreme weersomstandigheden zullen voordoen en de gemiddelde klimaatcondities langetermijnveranderingen ondergaan die, als er geen maatregelen voor aanpassing aan de klimaatverandering worden getroffen, afbreuk kunnen doen aan de capaciteit, efficiëntie en levensduur van bepaalde soorten infrastructuur. Bovendien wordt de interne markt gekenmerkt door versnippering wat betreft de identificatie van kritieke entiteiten, en worden de betreffende sectoren en categorieën entiteiten dus niet altijd in alle lidstaten als kritiek erkend. Met deze richtlijn moet ten aanzien van de sectoren en categorieën entiteiten die onder het toepassingsgebied ervan vallen derhalve een solide niveau van harmonisatie worden bereikt.

Hoewel bepaalde economische sectoren, zoals de energie- en vervoersectoren, reeds zijn gereguleerd door middel van sectorspecifieke rechtshandelingen van de Unie, bevatten die rechtshandelingen bepalingen die slechts verband houden met een aantal aspecten van de weerbaarheid van entiteiten die in die sectoren actief zijn. Om op een brede manier de weerbaarheid te bevorderen van entiteiten die van kritiek belang zijn voor een goede werking van de interne markt, creëert deze richtlijn een overkoepelend kader betreffende de weerbaarheid van kritieke entiteiten ten aanzien van alle gevaren, d.w.z. zowel natuurrampen als rampen die, accidenteel of opzettelijk, door de mens worden veroorzaakt.

De toenemende onderlinge afhankelijkheid tussen infrastructuren en sectoren komt doordat er een netwerk van dienstverlening is dat steeds meer grensoverschrijdend en onderling afhankelijk is en dat in de hele Unie gebruikmaakt van belangrijke infrastructuur in de energie, vervoer, bankwezen, drinkwater, afvalwater, productie, verwerking en distributie van levensmiddelen, volksgezondheid, ruimtevaart, financiëlemarktinfrastructuur en digitaledienstverleningsectoren en bepaalde aspecten van de overheidssector.. De ruimtevaartsector valt onder het toepassingsgebied van deze richtlijn met betrekking tot de verlening van bepaalde diensten die afhankelijk zijn van grondinfrastructuren die eigendom zijn van en beheerd en geëxploiteerd worden door lidstaten of particuliere partijen; bijgevolg vallen infrastructuren die eigendom zijn van en beheerd of geëxploiteerd worden door of namens de Unie in het kader van haar ruimtevaartprogramma niet onder het toepassingsgebied van deze richtlijn. Wat de energiesector betreft, en meer bepaald de wijze van elektriciteitsproductie en -transmissie (met het oog op de elektriciteitsvoorziening), kan, indien zulks wenselijk wordt geacht, de elektriciteitsproductie ook de transmissieonderdelen van kerncentrales omvatten, maar niet de specifiek nucleaire elementen die vallen onder verdragen en het Unierecht, met inbegrip van relevante rechtshandelingen van de Unie betreffende kernenergie. In het proces om kritieke entiteiten in de levensmiddelensector te identificeren moet op passende wijze rekening worden gehouden met de aard van de interne markt in die sector en de uitgebreide Unievoorschriften met betrekking tot de algemene beginselen en voorschriften van het levensmiddelenrecht en de voedselveiligheid. Om een evenredige aanpak te waarborgen en om op passende wijze rekening te houden met de rol en het belang van die entiteiten op nationaal niveau, mogen levensmiddelenbedrijven, met of zonder winstoogmerk, publiek of privaat, derhalve alleen als kritieke entiteiten worden geïdentificeerd als zij zich uitsluitend bezighouden met logistiek en groothandel, dan wel grootschalige industriële productie en verwerking met een significant marktaandeel op nationaal niveau. Die onderlinge afhankelijkheden betekenen dat elke verstoring van essentiële diensten, ook als deze aanvankelijk beperkt is tot één entiteit of één sector, bredere cascade-effecten kan hebben, die in potentie verstrekkende en negatieve gevolgen op lange termijn kunnen hebben voor het verlenen van diensten op de interne markt. Grote crises, zoals de COVID-19-pandemie, hebben duidelijk gemaakt hoe kwetsbaar onze steeds meer onderling afhankelijke samenlevingen zijn voor risico's met een hoge impact en lage waarschijnlijkheid.

De entiteiten die betrokken zijn bij de verlening van essentiële diensten, zien zich steeds meer geconfronteerd met uiteenlopende voorschriften uit hoofde van het nationale recht. Het feit dat de veiligheidsvoorschriften voor die entiteiten in sommige lidstaten minder streng zijn, leidt niet alleen tot verschillende weerbaarheidsniveaus, maar brengt ook het risico met zich mee van negatieve gevolgen voor de instandhouding van vitale maatschappelijke functies of economische activiteiten in de hele Unie, en belemmert daarnaast de goede werking van de interne markt. Investeerders en bedrijven moeten kunnen steunen en vertrouwen op kritieke entiteiten die weerbaar zijn, en betrouwbaarheid en vertrouwen zijn de hoekstenen van een goed functionerende interne markt. Soortgelijke entiteiten worden door sommige lidstaten wel en door andere niet als kritiek beschouwd, en voor de entiteiten die wel als kritiek worden geïdentificeerd, gelden in verschillende lidstaten andere voorschriften. Dat leidt tot extra en onnodige administratieve lasten voor bedrijven die grensoverschrijdend opereren, met name als zij actief zijn in lidstaten met strengere voorschriften. Daarom zou een Uniekader ook leiden tot de totstandkoming van een gelijk speelveld voor kritieke entiteiten in de gehele Unie.

Het is nodig geharmoniseerde minimumvoorschriften vast te stellen om de verlening van essentiële diensten op de interne markt te waarborgen, de weerbaarheid van kritieke entiteiten te versterken en de grensoverschrijdende samenwerking tussen de bevoegde autoriteiten te verbeteren. Het is belangrijk dat deze voorschriften toekomstbestendig zijn wat betreft ontwerp en uitvoering, en dat er ruimte wordt gelaten voor de nodige flexibiliteit. Het is ook van cruciaal belang de capaciteit van kritieke entiteiten te vergroten zodat zij essentiële diensten kunnen blijven leveren tegen een achtergrond van een gevarieerde reeks risico's.

Om te zorgen voor een hoge weerbaarheid moeten de lidstaten vaststellen welke kritieke entiteiten aan specifieke voorschriften en toezicht zullen worden onderworpen bijzondere ondersteuning en begeleiding zullen krijgen ten aanzien van alle relevante risico's.

Gezien het belang van cyberbeveiliging voor de weerbaarheid van kritieke entiteiten en met het oog op consistentie moet waar mogelijk worden gezorgd voor een aanpak die coherent is met deze richtlijn en met Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (5). Gezien de hogere frequentie en bijzondere kenmerken van cyberrisico's legt Richtlijn (EU) 2022/2555 een grote groep entiteiten brede voorschriften op om hun cyberbeveiliging te waarborgen. Aangezien cyberbeveiliging voldoende geregeld wordt in Richtlijn (EU) 2022/2555, moet alles wat daaronder valt buiten het toepassingsgebied van deze richtlijn blijven, onverminderd de bijzondere regeling voor entiteiten in de sector digitale infrastructuur.

Wanneer bepalingen van sectorspecifieke rechtshandelingen van de Unie kritieke entiteiten voorschrijven maatregelen te nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten worden erkend als ten minste gelijkwaardig aan de in deze richtlijn vastgestelde overeenkomende verplichtingen, mogen de desbetreffende bepalingen van deze richtlijn niet van toepassing zijn, teneinde dubbel werk en onnodige last te voorkomen. In dat geval moeten de relevante bepalingen van dergelijke rechtshandelingen van de Unie van toepassing zijn. Wanneer de relevante bepalingen van deze richtlijn niet van toepassing zijn, mogen de bepalingen inzake toezicht en handhaving vastgesteld in deze richtlijn evenmin van toepassing zijn.

Deze richtlijn doet geen afbreuk aan de bevoegdheden van de lidstaten en hun autoriteiten op het gebied van bestuurlijke autonomie en evenmin aan hun verantwoordelijkheid om de nationale veiligheid en defensie te waarborgen of hun bevoegdheid om andere essentiële staatsfuncties te beschermen, met name op het gebied van openbare veiligheid, territoriale integriteit en het handhaven van de openbare orde. Overheidsinstanties moeten worden uitgesloten van het toepassingsgebied van deze richtlijn indien de activiteiten van entiteiten hoofdzakelijk worden uitgevoerd op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten. Overheidsinstanties waarvan de activiteiten slechts zijdelings verband houden met die gebieden, moeten evenwel vallen onder het toepassingsgebied van deze richtlijn. Voor de toepassing van deze richtlijn worden entiteiten met regelgevende bevoegdheden niet geacht activiteiten op het gebied van rechtshandhaving uit te voeren en zij worden dan ook op die grond niet uitgesloten van het toepassingsgebied van deze richtlijn. Overheidsinstanties die samen met een derde land zijn opgericht overeenkomstig een internationale overeenkomst, zijn uitgesloten van het toepassingsgebied van deze richtlijn. Deze richtlijn is niet van toepassing op diplomatieke en consulaire missies van de lidstaten in derde landen. Bepaalde kritieke entiteiten verrichten hoofdzakelijk activiteiten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten, of verlenen uitsluitend diensten aan overheidsinstanties die hoofdzakelijk activiteiten verrichten op die gebieden. Gezien de verantwoordelijkheid van de lidstaten om de nationale veiligheid en defensie te waarborgen, moeten de lidstaten kunnen besluiten dat de verplichtingen voor kritieke entiteiten die zijn vastgelegd in deze richtlijn geheel of gedeeltelijk niet van toepassing zijn op deze kritieke entiteiten indien de diensten die zij verlenen of de activiteiten die zij verrichten hoofdzakelijk verband houden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten. Kritieke entiteiten waarvan de diensten of activiteiten slechts marginaal verband houden met die gebieden, moeten onder het toepassingsgebied van deze richtlijn vallen. Geen enkele lidstaat mag worden verplicht inlichtingen te verstrekken waarvan de openbaarmaking in strijd zou zijn met de wezenlijke belangen van zijn nationale veiligheid. Unie- of nationale regels voor de bescherming van gerubriceerde informatie en geheimhoudingsovereenkomsten zijn relevant.

Om de nationale veiligheid of de veiligheids- en commerciële belangen van kritieke entiteiten niet in gevaar te brengen, moet bij de toegang tot en de uitwisseling en behandeling van gevoelige informatie voorzichtigheid worden betracht en moet er bijzonder worden gelet op de transmissiekanalen en opslagcapaciteit die worden gebruikt.

Om te zorgen voor een integrale aanpak betreffende de weerbaarheid van kritieke entiteiten moet elke lidstaat beschikken over een strategie om de weerbaarheid van kritieke entiteiten te versterken (de ‘strategie’). De strategie moet de uit te voeren strategische doelstellingen en beleidsmaatregelen bevatten. In het belang van samenhang en efficiëntie moet de strategie zo worden ontworpen dat het bestaande beleid er naadloos in wordt geïntegreerd, en dat waar mogelijk wordt voortgebouwd op bestaande nationale en sectorale strategieën, plannen of soortgelijke documenten. Om een brede aanpak te bewerkstelligen, moeten de lidstaten ervoor zorgen dat hun strategieën een beleidskader creëren voor versterkte coördinatie tussen de uit hoofde van deze richtlijn en uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten bij de uitwisseling van informatie over cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten, evenals niet-cybergerelateerde risico's, dreigingen en incidenten, en in het kader van de uitoefening van toezichthoudende taken. Bij de invoering van hun strategieën moeten de lidstaten terdege rekening houden met de hybride aard van dreigingen voor kritieke entiteiten.

De lidstaten moeten hun strategieën en belangrijke actualiseringen daarvan meedelen aan de Commissie, met name om de Commissie in staat te stellen de juiste toepassing van deze richtlijn te beoordelen wat betreft de beleidsaanpak van de weerbaarheid van kritieke entiteiten op nationaal niveau. Indien nodig kunnen strategieën als gerubriceerde informatie worden meegedeeld. De Commissie moet een samenvattend verslag van de door de lidstaten meegedeelde strategieën opstellen als basis voor uitwisselingen om beste praktijken en vraagstukken van gemeenschappelijk belang in kaart te brengen in het kader van een Groep voor de weerbaarheid van kritieke entiteiten. Gezien de gevoelige aard van de geaggregeerde informatie die in het samenvattend verslag, al dan niet gerubriceerd, is opgenomen, moet de Commissie zich het samenvattende verslag beheren met voldoende bewustzijn van de veiligheid van de kritieke entiteiten, de lidstaten en de Unie. Het samenvattend verslag en de strategieën moeten worden beschermd tegen onrechtmatige of kwaadwillige handelingen en mogen alleen toegankelijk zijn voor bevoegde personen met het doel de doelstellingen van deze richtlijn te verwezenlijken. De communicatie over de strategieën en belangrijke actualiseringen daarvan moet de Commissie ook helpen inzicht te krijgen in ontwikkelingen in de beleidsaanpak van de weerbaarheid van kritieke entiteiten en moeten een bijdrage leveren aan de monitoring van de impact en de toegevoegde waarde van deze richtlijn, die de Commissie periodiek moet evalueren.

Bij de acties van de lidstaten om kritieke entiteiten te identificeren en hun weerbaarheid te helpen waarborgen, moet een risicogebaseerde aanpak worden gevolgd die zich richt op de entiteiten die het meest relevant zijn voor de uitvoering van vitale maatschappelijke functies of economische activiteiten. Voor zo'n gerichte aanpak moet elke lidstaat binnen een geharmoniseerd kader een beoordeling verrichten van de relevante natuurlijke en door de mens veroorzaakte risico's, waaronder die van sector- en grensoverschrijdende aard, die negatieve gevolgen zouden kunnen hebben voor de verlening van essentiële diensten, waaronder ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid zoals pandemieën en hybride dreigingen of andere antagonistische dreigingen, waaronder terroristische misdrijven, criminele infiltratie en sabotage (‘lidstaat-risicobeoordeling’). Bij het uitvoeren van lidstaat-risicobeoordelingen moeten de lidstaten tevens rekening houden met andere algemene of sectorspecifieke risicobeoordelingen die krachtens andere rechtshandelingen van de Unie zijn verricht, en moeten zij de onderlinge afhankelijkheid van sectoren in aanmerking nemen, ook waar het andere lidstaten en derde landen betreft. De resultaten van de lidstaat-risicobeoordelingen moeten worden benut voor het identificeren van kritieke entiteiten en om die entiteiten te helpen voldoen aan hun weerbaarheidseisen. Deze richtlijn is alleen van toepassing op lidstaten en kritieke entiteiten die binnen de Unie actief zijn. Niettemin kunnen de deskundigheid en kennis die door de bevoegde autoriteiten, met name aan de hand van risicobeoordelingen, en door de Commissie, met name door middel van diverse vormen van steun en samenwerking, worden gegenereerd, waar passend en in overeenstemming met de toepasselijke rechtsinstrumenten worden gebruikt ten behoeve van derde landen, met name landen in de directe nabijheid van de Unie, zodat zij kunnen bijdragen aan de bestaande samenwerking op het gebied van weerbaarheid.

Om te waarborgen dat de weerbaarheidseisen van deze richtlijn voor alle relevante entiteiten gelden en onderlinge verschillen in dat opzicht te beperken, is het van belang om geharmoniseerde regels vast te stellen op basis waarvan kritieke entiteiten in de hele Unie op consistente wijze kunnen worden geïdentificeerd, maar die de lidstaten ook vrij laten om op passende wijze rekening te houden met de rol en het belang van die entiteiten op nationaal niveau. Bij de toepassing van de in deze richtlijn vastgestelde criteria moet elke lidstaat entiteiten identificeren die een of meer essentiële diensten verlenen en die kritieke infrastructuur op zijn grondgebied hebben en exploiteren. Een entiteit moet worden geacht actief te zijn op het grondgebied van een lidstaat waar zij activiteiten verricht die noodzakelijk zijn voor de essentiële dienst of diensten in kwestie en waar de kritieke infrastructuur van die entiteit, die wordt gebruikt om die dienst of diensten te verlenen, zich bevindt. Indien er in een lidstaat geen entiteit is die aan die criteria voldoet, mag die lidstaat niet verplicht worden een kritieke entiteit in de overeenkomstige sector of deelsector te identificeren. Omwille van de doeltreffendheid, doelmatigheid, consistentie en rechtszekerheid moeten er ook passende regels worden vastgesteld ten aanzien van de kennisgeving aan entiteiten dat zij zijn geïdentificeerd als kritieke entiteiten.

De lidstaten moeten de Commissie het volgende verstrekken, op een manier die voldoet aan de doelstellingen van deze richtlijn: de lijst van essentiële diensten, het aantal kritieke entiteiten dat voor elke van de in de bijlage beschreven sectoren en deelsectoren en voor de essentiële dienst of diensten die elke entiteit verleent, is geïdentificeerd, en, indien van toepassing, de drempels. Het moet mogelijk zijn om drempels als zodanig of in geaggregeerde vorm te presenteren, wat betekent dat de informatie kan worden berekend als gemiddelde per geografisch gebied, per jaar, per sector, per deelsector, of anderszins, en informatie over het aantal verstrekte indicatoren kan omvatten.

Er moeten criteria worden vastgesteld aan de hand waarvan kan worden bepaald hoe ernstig het verstorend effect van een incident is. Die criteria moeten voortbouwen op de criteria van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (6) teneinde zowel de inspanningen van de lidstaten om exploitanten van essentiële diensten als gedefinieerd in die richtlijn en de daarmee opgedane ervaring te benutten. Grote crises, zoals de COVID-19-pandemie, hebben aangetoond hoe belangrijk het is de veiligheid van de toeleveringsketen te waarborgen en laten zien hoe de verstoring ervan negatieve economische en maatschappelijke gevolgen kan hebben in een groot aantal sectoren en over de grenzen heen. Daarom moeten de lidstaten bij het bepalen van de mate waarin andere sectoren en deelsectoren afhankelijk zijn van de essentiële dienst die wordt verleend door een kritieke entiteit, voor zover mogelijk ook rekening houden met de effecten op de toeleveringsketen.

In overeenstemming met het toepasselijke Unie- en nationale recht, met inbegrip van Verordening (EU) 2019/452 van het Europees Parlement en de Raad (7), waarmee een kader wordt opgericht voor de screening van buitenlandse directe investeringen in de Unie, moet de potentiële dreiging die uitgaat van buitenlands eigendom van kritieke infrastructuur binnen de Unie worden erkend aangezien diensten, de economie alsook het vrije verkeer en de veiligheid van de EU-burgers afhankelijk zijn van de goede werking van kritieke infrastructuur.

Richtlijn (EU) 2022/2555 verplicht entiteiten die behoren tot de sector digitale infrastructuur, die in het kader van deze richtlijn wellicht als kritieke entiteiten kunnen worden geïdentificeerd, passende en evenredige technische, operationele en organisatorische maatregelen te nemen ter beheersing van de risico's voor de beveiliging van netwerk- en informatiesystemen en om significante incidenten en cyberdreigingen te melden. Aangezien dreigingen voor de beveiliging van netwerk- en informatiesystemen uit verschillende hoeken kunnen komen, wordt in Richtlijn (EU) 2022/2555 een alle gevaren-benadering gevolgd die betrekking heeft op de weerbaarheid van netwerk- en informatiesystemen alsmede op de fysieke componenten en omgevingen van die systemen. Aangezien de voorschriften die in dat verband zijn vastgesteld in Richtlijn (EU) 2022/2555 ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde overeenkomstige verplichtingen, mogen de verplichtingen die zijn vastgesteld in artikel 11 en de hoofdstukken III, IV en VI van deze richtlijn niet van toepassing zijn op entiteiten die behoren tot de sector digitale infrastructuur, teneinde dubbel werk en onnodige administratieve lasten te voorkomen. Aangezien de diensten die door entiteiten die behoren tot de sector digitale infrastructuur worden verleend van belang zijn voor kritieke entiteiten in alle andere sectoren, moeten de lidstaten aan de hand van de criteria en procedure waarin deze richtlijn voorziet, entiteiten die behoren tot de sector digitale infrastructuur als kritieke entiteiten identificeren. Dientengevolge moeten de strategieën, de lidstaat-risicobeoordelingen en de ondersteunende maatregelen die zijn vastgesteld in hoofdstuk II van deze richtlijn van toepassing zijn. De lidstaten moeten ook bepalingen van nationaal recht kunnen vaststellen of handhaven teneinde het weerbaarheidsniveau van die kritieke entiteiten te verhogen, op voorwaarde dat die bepalingen stroken met het toepasselijke Unierecht.

Het Unierecht inzake financiële diensten legt financiële entiteiten vergaande voorschriften op om alle risico's waarmee zij te maken krijgen, waaronder operationele risico's, te beheersen en bedrijfscontinuïteit te waarborgen. Onder dit recht vallen onder andere Verordeningen (EU) nr. 648/2012(8), (EU) nr. 575/2013(9) en (EU) nr. 600/2014(10) van het Europees Parlement en de Raad en Richtlijnen 2013/36/EU(11) en 2014/65/EU(12) van het Europees Parlement en de Raad. Dat juridisch kader wordt aangevuld met Verordening (EU) 2022/2554 van het Europees Parlement en de Raad (13), waarbij financiële entiteiten worden voorgeschreven informatie- en communicatietechnologie (ICT) risico's te beheersen, waaronder betreffende de bescherming van fysieke ICT-infrastructuur te beschermen. Aangezien de weerbaarheid van die entiteiten derhalve volledig is gedekt, mogen artikel 11 en de hoofdstukken III, IV en VI van deze richtlijn niet op die entiteiten van toepassing zijn, teneinde dubbel werk en onnodige administratieve lasten te voorkomen.

Aangezien de diensten die door entiteiten in de financiële sector worden verleend van belang zijn voor kritieke entiteiten in alle andere sectoren, moeten de lidstaten aan de hand van de criteria en procedure waarin deze richtlijn voorziet, entiteiten in de financiële sector als kritieke entiteiten identificeren. Dientengevolge moeten de strategieën de lidstaat-risicobeoordelingen en de ondersteunende maatregelen als vastgelegd in hoofdstuk II van deze richtlijn van toepassing zijn. De lidstaten moeten bepalingen van nationaal recht kunnen vaststellen of handhaven teneinde het weerbaarheidsniveau van die kritieke entiteiten te verhogen, op voorwaarde dat die bepalingen stroken met het toepasselijke Unierecht.

De lidstaten moeten autoriteiten aanwijzen of oprichten die bevoegd zijn om toezicht te houden op de toepassing van de regels van deze richtlijn en om die regels zo nodig te handhaven, alsmede ervoor zorgen dat die autoriteiten over adequate bevoegdheden en middelen beschikken. Gezien de uiteenlopende nationale bestuursstructuren en om bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie in stand te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen of oprichten. Wanneer lidstaten meer dan één bevoegde autoriteit aanwijzen of oprichten, moeten zij de desbetreffende taken van de betrokken autoriteiten duidelijk afbakenen en ervoor zorgen dat deze vlot en effectief samenwerken. Alle bevoegde autoriteiten moeten ook meer in het algemeen met andere bevoegde autoriteiten samenwerken, zowel op Unie- als op nationaal niveau.

Om grensoverschrijdende samenwerking en communicatie te vergemakkelijken en de effectieve uitvoering van deze richtlijn mogelijk te maken, moet elke lidstaat, onverminderd de voorschriften van sectorspecifieke rechtshandelingen van de Unie, in voorkomend geval binnen een bevoegde autoriteit, één centraal contactpunt aanwijzen dat verantwoordelijk is voor de coördinatie van kwesties in verband met de weerbaarheid van kritieke entiteiten en grensoverschrijdende samenwerking op Unieniveau (‘centraal contactpunt’). Elk centraal contactpunt moet waar nodig contacten onderhouden en de communicatie coördineren met de bevoegde autoriteiten van zijn lidstaat, met de centrale contactpunten van andere lidstaten, en met de Groep voor de weerbaarheid van kritieke entiteiten.

De bevoegde autoriteiten uit hoofde van deze richtlijn en de bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2555 moeten samenwerken en informatie uitwisselen met betrekking tot cyberbeveiligingsrisico's, cyberdreigingen en cyberincidenten en niet-cybergerelateerde risico's, dreigingen en incidenten die negatieve gevolgen hebben voor de kritieke entiteiten, alsook met betrekking tot maatregelen die hieromtrent zijn genomen door uit hoofde van deze richtlijn bevoegde autoriteiten en uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten aangewezen bevoegde autoriteiten. Het is van belang dat de lidstaten ervoor zorgen dat de voorschriften waarin de onderhavige richtlijn en Richtlijn (EU) 2022/2555 voorzien, elkaar aanvullen en dat kritieke entiteiten niet met administratieve lasten te maken krijgen die verder gaan dan nodig is om de doelstellingen van de onderhavige en de genoemde richtlijn te verwezenlijken.

De lidstaten moeten kritieke entiteiten, met inbegrip van als kleine of middelgrote aan te merken ondernemingen, ondersteunen bij het versterken van hun weerbaarheid, met naleving van verplichtingen van lidstaten die zijn vastgesteld in deze richtlijn, onverminderd de eigen wettelijke verantwoordelijkheid van de kritieke entiteiten om deze naleving te waarborgen, zodat buitensporige administratieve lasten worden voorkomen. De lidstaten zouden met name richtsnoeren en methoden kunnen ontwikkelen, ondersteuning kunnen verlenen bij de organisatie van oefeningen om de weerbaarheid van kritieke entiteiten te testen en advies en opleiding kunnen verstrekken aan het personeel van kritieke entiteiten. Indien nodig en gerechtvaardigd door doelstellingen van algemeen belang, kunnen de lidstaten financiële middelen ter beschikking stellen en moeten zij vrijwillige uitwisseling van informatie en goede praktijken tussen kritieke entiteiten faciliteren, onverminderd de toepassing van de mededingingsregels als vervat in het Verdrag betreffende de werking van de Europese Unie (VWEU).

Om de door de lidstaten geïdentificeerde kritieke entiteiten weerbaarder te maken en om de administratieve lasten voor deze kritieke entiteiten te verminderen, moeten de bevoegde autoriteiten waar nodig overleg plegen om te waarborgen dat deze richtlijn op een consistente manier wordt toegepast. Dit overleg moet worden gepleegd op verzoek van een belanghebbende bevoegde autoriteit en gericht zijn op een convergerende aanpak ten aanzien van onderling verbonden kritieke entiteiten die gebruikmaken van kritieke infrastructuur met fysieke verbindingen tussen twee of meer lidstaten, die tot dezelfde groepen of bedrijfsstructuren behoren, of die in een lidstaat zijn geïdentificeerd en die essentiële diensten verlenen aan of in andere lidstaten.

Wanneer bepalingen van het Unierecht of het nationale recht kritieke entiteiten voorschrijven de voor de toepassing van deze richtlijn relevante risico's te beoordelen en maatregelen te nemen om hun eigen weerbaarheid te waarborgen, moeten deze voorschriften afdoende in aanmerking worden genomen met het oog op het toezicht op de naleving van deze richtlijn door kritieke entiteiten.

Kritieke entiteiten moeten een breed inzicht hebben in de risico's waaraan zij zijn blootgesteld en zij moeten die risico's analyseren. Daartoe moeten zij, telkens wanneer hun specifieke omstandigheden en de evolutie van die risico's daartoe nopen, en in ieder geval om de vier jaar, risicobeoordelingen uitvoeren, teneinde alle relevante risico's te beoordelen die de verlening van hun essentiële diensten kunnen verstoren (‘risicobeoordeling door een kritieke entiteit’). Indien kritieke entiteiten risicobeoordelingen hebben uitgevoerd of documenten hebben opgesteld op grond van verplichtingen opgenomen in andere rechtshandelingen die relevant zijn voor hun risicobeoordeling door een kritieke entiteit, moeten zij die beoordelingen en documenten kunnen gebruiken om aan de voorschriften betreffende risicobeoordelingen door een kritieke entiteit die zijn vastgesteld in deze richtlijn, te voldoen. Met hetzelfde doel moet een bevoegde autoriteit kunnen verklaren dat een bestaande risicobeoordeling uitgevoerd door een kritieke entiteit waarin de relevante risico's en de relevante mate van afhankelijkheid aan de orde komen, geheel of ten dele voldoet aan de in deze richtlijn opgenomen verplichtingen.

Kritieke entiteiten moeten technische, beveiligings- en organisatorische maatregelen nemen die passen bij en evenredig zijn met de risico's waarmee zij worden geconfronteerd, om incidenten te voorkomen, te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op of zich aan te passen aan een incident of daarvan te herstellen. Kritieke entiteiten moeten die maatregelen nemen overeenkomstig deze richtlijn, maar die maatregelen moeten wat betreft details en reikwijdte passen bij en evenredig zijn met de verschillende risico's die elke kritieke entiteit bij haar risicobeoordeling door een kritieke entiteit heeft vastgesteld en de specifieke kenmerken van de betrokken entiteit. Om een coherente Unieaanpak te bevorderen, moet de Commissie, na raadpleging van de Groep voor de weerbaarheid van kritieke entiteiten, niet-bindende richtsnoeren vaststellen om die technische, beveiligings- en organisatorische maatregelen nader te bepalen. De lidstaten moeten ervoor zorgen dat elke kritieke entiteit een verbindingsambtenaar of een gelijkwaardige ambtenaar aanwijst als contactpunt met de bevoegde autoriteiten.

Met het oog op effectiviteit en verantwoording moeten kritieke entiteiten, rekening houdend met de vastgestelde risico's, de maatregelen die zij nemen voldoende gedetailleerd beschrijven in een weerbaarheidsplan dan wel een of meer daarmee vergelijkbare documenten om de doelen van effectiviteit en verantwoording te kunnen verwezenlijken, en dat plan in de praktijk toepassen. Wanneer een kritieke entiteit reeds technische, beveiligings- en organisatorische maatregelen heeft genomen en documenten heeft opgesteld op grond van andere rechtshandelingen die relevant zijn voor weerbaarheidsbevorderende maatregelen uit hoofde van deze richtlijn, moet zij die maatregelen en documenten kunnen gebruiken om aan de voorschriften ten aanzien van weerbaarheidsmaatregelen uit hoofde van deze richtlijn te voldoen. Om dubbel werk te vermijden moet een bevoegde autoriteit kunnen verklaren dat bestaande weerbaarheidsmaatregelen genomen door een kritieke entiteit, op grond waarvan zij voldoen aan hun verplichting om technische, veiligheids- en organisatorische maatregelen te nemen op grond van deze richtlijn, geheel of ten dele voldoen aan de voorschriften van deze richtlijn.

Bij Verordeningen (EG) nr. 725/2004(14) en (EG) nr. 300/2008(15) van het Europees Parlement en de Raad en Richtlijn 2005/65/EG van het Europees Parlement en de Raad (16) zijn voorschriften voor entiteiten in de sectoren luchtvaart en zeevervoer vastgesteld om incidenten als gevolg van wederrechtelijke gedragingen te voorkomen en de gevolgen van dergelijke incidenten het hoofd te bieden en te beperken. Hoewel de uit hoofde van deze richtlijn vereiste maatregelen breder zijn wat de bestreken risico's en soorten te nemen maatregelen betreft, moeten de kritieke entiteiten in die sectoren de krachtens die andere rechtshandelingen van de Unie genomen maatregelen tot uitdrukking brengen in hun weerbaarheidsplan of daarmee vergelijkbare documenten. Kritieke entiteiten moeten ook rekening houden met Richtlijn 2008/96/EG van het Europees Parlement en de Raad (17), die voorziet in een wegennetbeoordeling voor het hele netwerk om het risico op ongevallen in kaart te brengen, en in een gerichte verkeersveiligheidsinspectie om gevaarlijke omstandigheden, gebreken en problemen die het risico op ongevallen en verwondingen verhogen, vast te stellen op basis van bezoeken ter plaatse aan bestaande wegen of weggedeelten. Het waarborgen van de bescherming en weerbaarheid van kritieke entiteiten is van het grootste belang voor de spoorwegsector, en kritieke entiteiten worden ertoe aangespoord om bij de uitvoering van weerbaarheidsmaatregelen uit hoofde van deze richtlijn terug te grijpen op niet-bindende richtsnoeren en documenten met goede praktijken die zijn ontwikkeld in het kader van sectorale werkstromen, zoals het EU-veiligheidsplatform voor treinreizigers dat is opgericht bij Besluit 2018/C 232/03 van de Commissie (18).

Het risico dat werknemers van kritieke entiteiten of hun contractanten bijvoorbeeld hun toegangsrechten misbruiken om binnen de organisatie van de kritieke entiteit schade te veroorzaken, wordt steeds zorgwekkender. De lidstaten moeten derhalve bepalen onder welke voorwaarden kritieke entiteiten, in goed gemotiveerde gevallen en rekening houdende met de lidstaat-risicobeoordelingen, om antecedentenonderzoeken kunnen verzoeken voor personen die tot specifieke categorieën van hun personeel behoren. Er moet voor worden gezorgd dat de relevante autoriteiten die verzoeken binnen een redelijke termijn beoordelen en afhandelen overeenkomstig het nationale recht en de nationale procedures, alsook het relevante en toepasselijke Unierecht, onder meer inzake de bescherming van persoonsgegevens. Om de identiteit van een persoon die aan een antecedentenonderzoek wordt onderworpen te bevestigen, is het wenselijk dat de lidstaten een identiteitsbewijs voorschrijven, zoals een paspoort, een nationale identiteitskaart of een digitale vorm van identificatie, overeenkomstig het toepasselijke recht. Bij antecedentenonderzoek moet worden gekeken naar het strafregister van de betrokken persoon. De lidstaten moeten gebruikmaken van het Europees Strafregisterinformatiesysteem volgens de procedures die zijn vastgesteld in Kaderbesluit 2009/315/JBZ van de Raad (19) en, waar nuttig en toepasselijk, Verordening (EU) 2019/816 van het Europees Parlement en de Raad (20), om gegevens uit de strafregisters van andere lidstaten te verkrijgen. De lidstaten kunnen ook, waar nuttig en toepasselijk, gebruikmaken van het bij Verordening (EU) 2018/1862 van het Europees Parlement en de Raad (21) opgezette Schengeninformatiesysteem van de tweede generatie (SIS II), inlichtingen en andere beschikbare objectieve informatie die nodig kan zijn om te bepalen of de betrokken persoon geschikt is voor de functie waarvoor de kritieke entiteit een antecedentenonderzoek heeft aangevraagd.

Er moet een mechanisme komen voor de melding van bepaalde incidenten zodat de bevoegde autoriteiten snel en adequaat kunnen reageren op incidenten en een volledig overzicht krijgen van de impact, aard, oorzaak en mogelijke gevolgen van incidenten waarmee de kritieke entiteiten te maken hebben. De kritieke entiteiten moeten de bevoegde autoriteiten zonder onnodige vertraging incidenten melden die de verlening van essentiële diensten aanzienlijk verstoren of zouden kunnen verstoren. De kritieke entiteiten moeten uiterlijk 24 uur nadat zij zich bewust zijn geworden van een incident een eerste melding indienen, tenzij zij hier operationeel gezien niet toe in staat zijn. De eerste melding hoeft enkel informatie te bevatten die strikt noodzakelijk is om de bevoegde autoriteit op de hoogte te brengen van het incident en de kritieke entiteit in staat te stellen om, indien nodig, bijstand te vragen. Een dergelijke melding moet, indien mogelijk, de vermoedelijke oorzaak van het incident vermelden. De lidstaten moeten ervoor zorgen dat het voorschrift om die eerste melding in te dienen de middelen van de kritieke entiteit niet afleidt van activiteiten in verband met incidentenbehandeling die prioriteit moeten krijgen. De eerste melding moet, in voorkomend geval, worden gevolgd door een gedetailleerd verslag dat uiterlijk één maand na het incident moet worden ingeleverd. Het gedetailleerde verslag moet de eerste melding aanvullen en een vollediger beeld geven van het incident.

Normalisatie moet in de eerste plaats een door de markt gestuurd proces blijven. Er kunnen zich echter situaties voordoen waarin het wenselijk is de naleving van specifieke normen voor te schrijven. De lidstaten moeten, waar nuttig, het gebruik aanmoedigen van Europese en internationale normen en technische specificaties die relevant zijn voor de beveiligings- en weerbaarheidsmaatregelen die van toepassing zijn op kritieke entiteiten.

Ofschoon kritieke entiteiten over het algemeen binnen een steeds hechter dienstverlenings- en infrastructureel netwerk opereren en dikwijls in meer dan een lidstaat essentiële diensten verlenen, zijn een aantal van die kritieke entiteiten van bijzonder belang voor de Unie en haar interne markt omdat zij essentiële diensten verlenen aan of in zes of meer lidstaten, en kunnen zij daarom specifieke ondersteuning op Unieniveau krijgen. Derhalve moeten er regels inzake adviesmissies naar dergelijke kritieke entiteiten van bijzonder Europees belang worden vastgesteld. Deze regels laten de in deze richtlijn vastgestelde regels inzake toezicht en handhaving onverlet.

Op gemotiveerd verzoek van de Commissie of van een of meer lidstaten waaraan of waar de essentiële dienst wordt verleend, moet de lidstaat die een kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als kritieke entiteit, wanneer aanvullende informatie noodzakelijk is om een kritieke entiteit te kunnen adviseren bij het nakomen van haar verplichtingen uit hoofde van deze richtlijn of om te kunnen beoordelen of een kritieke entiteit van bijzonder Europees belang die verplichtingen nakomt, de Commissie bepaalde informatie verstrekken als vastgesteld in deze richtlijn. In overleg met de lidstaat die de kritieke entiteit van bijzonder Europees belang heeft geïdentificeerd als een kritieke entiteit, moet de Commissie een adviesmissie kunnen organiseren om de door die entiteit genomen maatregelen te beoordelen. Om ervoor te zorgen dat dergelijke adviesmissies correct worden verricht, moeten aanvullende regels worden vastgesteld, met name inzake de organisatie en uitvoering van de adviesmissies, de te treffen follow-upmaatregelen en de verplichtingen van de betrokken kritieke entiteiten van bijzonder Europees belang. De adviesmissie moet worden uitgevoerd volgens de specifieke regels van het recht van de betrokken lidstaat, bijvoorbeeld inzake de precieze voorwaarden waaraan moet worden voldaan om toegang tot de betreffende gebouwen of documenten te krijgen en inzake rechtsverhaal, hetgeen onverlet laat dat de lidstaat waar de adviesmissie wordt uitgevoerd alsook de betrokken kritieke entiteit de regels van deze richtlijn moeten naleven. Om de specifieke deskundigheid die voor dergelijke adviesmissies voorgeschreven is, zou in voorkomend geval kunnen worden verzocht via het bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad (22) opgerichte Coördinatiecentrum voor respons in noodsituaties.

Ter ondersteuning van de Commissie en ter vereenvoudiging van de samenwerking tussen de lidstaten en de uitwisseling van informatie, waaronder beste praktijken, betreffende kwesties in verband met deze richtlijn, moet een groep voor de weerbaarheid van kritieke entiteiten worden opgericht als deskundigengroep van de Commissie. De lidstaten moeten trachten te waarborgen dat de aangewezen vertegenwoordigers van hun bevoegde autoriteiten binnen de Groep voor de weerbaarheid van kritieke entiteiten doeltreffend en doelmatig samenwerken, onder meer door waar nodig vertegenwoordigers aan te wijzen die over een veiligheidsmachtiging beschikken. De Groep voor de weerbaarheid van kritieke entiteiten moet haar taken zo snel mogelijk aanvatten, teneinde te voorzien in aanvullende middelen voor de nodige samenwerking tijdens de omzettingsperiode van deze richtlijn. De Groep voor de weerbaarheid van kritieke entiteiten moet samenwerken met andere relevante sectorspecifieke werkgroepen van deskundigen.

Ter bevordering van een alomvattend kader voor de cyber- en niet-cybergerelateerde weerbaarheid van kritieke entiteiten moet de Groep voor de weerbaarheid van kritieke entiteiten samenwerken met de bij Richtlijn (EU) 2022/2555 opgezette Samenwerkingsgroep. De Groep voor de weerbaarheid van kritieke entiteiten en de bij Richtlijn (EU) 2022/2555 opgezette Samenwerkingsgroep moeten regelmatig met elkaar in dialoog treden teneinde de samenwerking tussen de uit hoofde van deze richtlijn bevoegde autoriteiten en de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten te bevorderen en de uitwisseling van informatie, in het bijzonder over onderwerpen die voor beide partijen van belang zijn te vergemakkelijken.

Ter verwezenlijking van de doelstellingen van deze richtlijn en onverminderd de wettelijke verantwoordelijkheid van de lidstaten en kritieke entiteiten om te waarborgen dat zij hun in deze richtlijn vastgelegde respectieve verplichtingen naleven, moet de Commissie, voor zover zij zulks wenselijk acht, bevoegde autoriteiten en kritieke entiteiten ondersteunen om voor hen de naleving van hun respectieve verplichtingen te vergemakkelijken. Wanneer de Commissie de lidstaten en kritieke entiteiten bij de uitvoering van verplichtingen uit hoofde van deze richtlijn ondersteunt, moet zij voortbouwen op bestaande structuren en instrumenten, zoals die van het bij Besluit nr. 1313/2013/EU opgezette Uniemechanisme voor civiele bescherming en het Europees referentienetwerk voor de bescherming van kritieke infrastructuur. Daarnaast moet zij de lidstaten informeren over de beschikbare middelen op Unieniveau, zoals uit het bij Verordening (EU) 2021/1149 van het Europees Parlement en de Raad (23) opgezette Fonds voor interne veiligheid, het bij Verordening (EU) 2021/695 van het Europees Parlement en de Raad (24) opgezette programma Horizon Europa, en andere instrumenten die relevant zijn voor de weerbaarheid van kritieke entiteiten.

De lidstaten moeten ervoor zorgen dat hun bevoegde autoriteiten over bepaalde specifieke bevoegdheden beschikken voor de juiste toepassing en handhaving van deze richtlijn met betrekking tot kritieke entiteiten, voor zover die entiteiten volgens deze richtlijn onder hun jurisdictie vallen. Daarbij gaat het met name om de bevoegdheid inspecties en audits te verrichten, de bevoegdheid om toezicht te houden, de bevoegdheid om kritieke entiteiten voor te schrijven dat ze informatie en bewijs verstrekken in verband met de maatregelen die zij met het oog op het nakomen van hun verplichtingen hebben genomen, en zo nodig de bevoegdheid om vastgestelde inbreuken te beëindigen. Bij het geven van zulke opdrachten mogen de lidstaten geen maatregelen voorschrijven die verder gaan dan wat nodig en evenredig is om te waarborgen dat de betrokken kritieke entiteit aan haar verplichtingen voldoet, en moeten zij met name rekening houden met de ernst van de inbreuk en de economische capaciteit van de betrokken kritieke entiteit. Meer algemeen moeten die bevoegdheden vergezeld gaan van adequate en effectieve waarborgen die in nationaal recht moeten worden vastgelegd overeenkomstig het Handvest van de grondrechten van de Europese Unie. Bij de beoordeling of een kritieke entiteit haar verplichtingen die zijn vastgelegd zijn in deze richtlijn nakomt, moeten de uit hoofde van deze richtlijn bevoegde autoriteiten de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten kunnen verzoeken om hun toezichts- en handhavingsbevoegdheden uit te oefenen met betrekking tot een entiteit uit hoofde van die richtlijn die uit hoofde van de onderhavige richtlijn als een kritieke entiteit is geïdentificeerd. De uit hoofde van deze richtlijn bevoegde autoriteiten en de uit hoofde van Richtlijn (EU) 2022/2555 bevoegde autoriteiten moeten daartoe hun medewerking verlenen en informatie uitwisselen.

Teneinde deze richtlijn op doeltreffende en consistente wijze toe te passen, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen, zodat zij deze richtlijn kan aanvullen met een lijst van essentiële diensten. Die lijst moet door de bevoegde autoriteiten worden gebruikt met het oog op de uitvoering van lidstaat-risicobeoordelingen en het identificeren van kritieke entiteiten op grond van deze richtlijn. In het licht van de minimale harmonisatie waarvoor is gekozen bij deze richtlijn is die lijst niet uitputtend en kunnen lidstaten de lijst aanvullen met andere essentiële diensten op nationaal niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening van essentiële diensten. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven(25). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze richtlijn, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (26).

Aangezien de doelstellingen van deze richtlijn, namelijk te verzekeren dat diensten die essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten, binnen de interne markt zonder belemmeringen worden verleend en de weerbaarheid van de kritieke entiteiten die dergelijke diensten verlenen, te vergroten, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de gevolgen van het optreden beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel 5 neergelegde evenredigheidsbeginsel, gaat deze richtlijn niet verder dan nodig is om die doelstellingen te verwezenlijken.

Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (27) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 11 augustus 2021 heeft hij een advies uitgebracht.

Richtlijn 2008/114/EG moet derhalve worden ingetrokken,