Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn):artikel 32

Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)

Artikel 32 Toezichts- en handhavingsmaatregelen met betrekking tot essentiële entiteiten

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

De lidstaten zorgen ervoor dat de toezichts- of handhavingsmaatregelen die met betrekking tot de in deze richtlijn vastgestelde verplichtingen aan essentiële entiteiten worden opgelegd, doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de omstandigheden van elk afzonderlijk geval.

2.

De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken met betrekking tot essentiële entiteiten de bevoegdheid hebben om deze entiteiten te onderwerpen aan ten minste:

a)

inspecties ter plaatse en toezicht elders, met inbegrip van steekproefsgewijze controles die worden uitgevoerd door daartoe opgeleide professionals;

b)

regelmatige en gerichte beveiligingsaudits die worden uitgevoerd door een onafhankelijke instantie of een bevoegde autoriteit;

c)

ad-hocaudits, ook in gevallen waarin dat gerechtvaardigd is op grond van een significant incident of inbreuk op deze richtlijn door de essentiële entiteit;

d)

beveiligingsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicobeoordelingscriteria, indien nodig in samenwerking met de betrokken entiteit;

e)

verzoeken om informatie die nodig is om de door de betrokken entiteit genomen maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen, met inbegrip van gedocumenteerd cyberbeveiligingsbeleid, alsmede de naleving van de verplichting op grond van artikel 27 om bij de bevoegde autoriteiten informatie in te dienen;

f)

verzoeken om toegang tot gegevens, documenten en informatie die nodig zijn voor de uitoefening van hun toezichthoudende taken;

g)

verzoeken om bewijs van de uitvoering van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die door een gekwalificeerde auditor zijn uitgevoerd en de respectieve onderliggende bewijzen.

De in de eerste alinea, punt b), bedoelde gerichte beveiligingsaudits zijn gebaseerd op door de bevoegde autoriteit of de gecontroleerde entiteit verrichte risicobeoordelingen of op andere beschikbare risicogerelateerde informatie.

De resultaten van een gerichte beveiligingsaudit worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte door een onafhankelijke instantie uitgevoerde beveiligingsaudit worden betaald door de gecontroleerde entiteit, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders besluit.

3.

Bij de uitoefening van hun bevoegdheden uit hoofde van lid 2, punt e), f) of g), vermelden de bevoegde autoriteiten het doel van het verzoek en specificeren zij de gevraagde informatie.

4.

De lidstaten zorgen ervoor dat hun bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van essentiële entiteiten, de bevoegdheid hebben om ten minste:

a)

waarschuwingen te geven over inbreuken door de betrokken entiteiten op deze richtlijn;

b)

bindende aanwijzingen vast te stellen, met inbegrip van aanwijzingen inzake de noodzakelijke maatregelen om een incident te voorkomen of te verhelpen alsook uiterste termijnen voor de uitvoering van dergelijke maatregelen en voor verslaggeving over de uitvoering ervan, of een bevel uit te vaardigen waarin de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuken op deze richtlijn te verhelpen;

c)

de betrokken entiteiten te gelasten een einde te maken aan gedragingen die inbreuk maken op deze richtlijn en af te zien van herhaling van die gedragingen;

d)

de betrokken entiteiten te gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen voor het beheer van cyberbeveiligingsrisico's in overeenstemming zijn met artikel 21 of te voldoen aan de in artikel 23 vastgestelde rapportageverplichtingen;

e)

de betrokken entiteiten te gelasten de natuurlijke of rechtspersonen aan wie zij diensten verlenen of voor wie zij activiteiten uitvoeren die mogelijkerwijs door een significante cyberdreiging worden beïnvloed, in kennis te stellen van de aard van de dreiging en alle mogelijke beschermings- of herstelmaatregelen die deze natuurlijke of rechtspersonen kunnen nemen als reactie op die dreiging;

f)

de betrokken entiteiten te gelasten de naar aanleiding van een beveiligingsaudit gedane aanbevelingen binnen een redelijke termijn uit te voeren;

g)

een controlefunctionaris aan te wijzen die gedurende een bepaalde periode duidelijk omschreven taken heeft om erop toe te zien dat de betrokken entiteiten aan de artikelen 21 en 23 voldoen;

h)

de betrokken entiteiten te gelasten aspecten van inbreuken op deze richtlijn op een bepaalde manier openbaar te maken;

i)

op grond van artikel 34 een administratieve geldboete op te leggen of de oplegging ervan door de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht te verzoeken bovenop een of meer van de in punten a) tot en met h) van dit lid bedoelde maatregelen.

5.

Indien de op grond van lid 4, punten a) tot en met d) en punt f), genomen handhavingsmaatregelen ondoeltreffend zijn, zorgen de lidstaten ervoor dat hun bevoegde autoriteiten de bevoegdheid hebben om een termijn vast te stellen waarbinnen de essentiële entiteit wordt verzocht de noodzakelijke maatregelen te nemen om de tekortkomingen te verhelpen of aan de eisen van die autoriteiten te voldoen. Indien de gevraagde actie niet binnen de gestelde termijn wordt ondernomen, zorgen de lidstaten ervoor dat de bevoegde autoriteiten de bevoegdheid hebben om:

a)

een certificering of vergunning tijdelijk op te schorten of een certificerings- of vergunningsinstantie of een rechterlijke instantie overeenkomstig het nationale recht te verzoeken deze tijdelijk op te schorten met betrekking tot alle of een deel van de relevante door de essentiële entiteit verleende diensten of verrichte activiteiten;

b)

verzoeken dat de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht een natuurlijke persoon met leidinggevende verantwoordelijkheden op het niveau van de algemeen directeur of de wettelijke vertegenwoordiger in de essentiële entiteit tijdelijk verbieden leidinggevende functies in die entiteit uit te oefenen.

Op grond van dit lid opgelegde tijdelijke opschortingen of verboden worden slechts toegepast totdat de betrokken entiteit de noodzakelijke maatregelen neemt om de tekortkomingen te verhelpen of voldoet aan de vereisten van de bevoegde autoriteit waarvoor dergelijke handhavingsmaatregelen zijn opgelegd. Het opleggen van dergelijke tijdelijke opschortingen of verboden moet worden onderworpen aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het Handvest, waaronder het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, het vermoeden van onschuld en de rechten van de verdediging.

De in dit lid bedoelde handhavingsmaatregelen zijn niet van toepassing op onder deze richtlijn vallende overheidsinstanties.

6.

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.

Wat overheidsinstanties betreft, doet dit lid geen afbreuk aan het nationale recht inzake de aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen.

7.

Bij het nemen van de in lid 4 of 5 bedoelde handhavingsmaatregelen eerbiedigen de bevoegde autoriteiten de rechten van de verdediging en houden zij rekening met de omstandigheden van elk afzonderlijk geval, en houden zij ten minste naar behoren rekening met:

a)

de ernst van de inbreuk en het belang van de geschonden bepalingen, waarbij onder meer het volgende in ieder geval een ernstige inbreuk vormt:

i)

herhaalde inbreuken;

ii)

niet melden of niet verhelpen van significante incidenten;

iii)

niet verhelpen van tekortkomingen naar aanleiding van bindende aanwijzingen van de bevoegde autoriteiten;

iv)

het belemmeren van audits of monitoringsactiviteiten waartoe de bevoegde autoriteit opdracht heeft gegeven naar aanleiding van de vaststelling van een inbreuk;

v)

het verstrekken van valse of zeer onnauwkeurige informatie met betrekking tot de in de artikelen 21 en 23 vastgelegde cyberbeveiligingsrisicobeheersmaatregelen of rapportageverplichtingen;

b)

de duur van de inbreuk;

c)

eventuele relevante eerdere inbreuken door de betrokken entiteit;

d)

elke veroorzaakte materiële of immateriële schade, met inbegrip van elke financiële of economische schade, effecten op andere diensten en het aantal getroffen gebruikers;

e)

opzet of nalatigheid van de pleger van de inbreuk;

f)

door de entiteit genomen maatregelen om de materiële of immateriële schade te voorkomen of te beperken;

g)

de naleving van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen;

h)

de mate waarin de aansprakelijk gestelde natuurlijke of rechtspersonen meewerken met de bevoegde autoriteiten.

8.

De bevoegde autoriteiten geven een gedetailleerde motivering van hun handhavingsmaatregelen. Alvorens dergelijke maatregelen vast te stellen, stellen de bevoegde autoriteiten de betrokken entiteiten in kennis van hun voorlopige bevindingen. Ook geven zij die entiteiten een redelijke termijn om opmerkingen te maken, behalve in naar behoren gemotiveerde gevallen waarin onmiddellijk optreden om incidenten te voorkomen of erop te reageren anders zou worden belemmerd.

9.

De lidstaten zorgen ervoor dat hun uit hoofde van deze richtlijn bevoegde autoriteiten de relevante uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten binnen dezelfde lidstaat in kennis stellen wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een entiteit die op grond van Richtlijn (EU) 2022/2557 als kritieke entiteit wordt aangemerkt, voldoet aan deze richtlijn. In voorkomend geval kunnen de uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten de uit hoofde van deze richtlijn bevoegde autoriteiten verzoeken hun toezichts- en handhavingsbevoegdheden uit te oefenen ten aanzien van een entiteit die is aangemerkt als kritieke entiteit uit hoofde van Richtlijn (EU) 2022/2557.

10.

De lidstaten zorgen ervoor dat hun uit hoofde van deze richtlijn bevoegde autoriteiten samenwerken met de relevante uit hoofde van Verordening (EU) 2022/2554 bevoegde autoriteiten van de betrokken lidstaat. De lidstaten zorgen er met name voor dat hun uit hoofde van deze richtlijn bevoegde autoriteiten het oversightforum dat is opgericht op grond van artikel 32, lid 1, van Verordening (EU) 2022/2554 in kennis stellen wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een essentiële entiteit die op grond van artikel 31 van Verordening (EU) 2022/2554 als kritieke derde aanbieder van ICT-diensten is aangewezen, voldoet aan deze richtlijn.

Deze functie is alleen te gebruiken als je bent ingelogd.