Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn):artikel 2

Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)

Artikel 2 Toepassingsgebied

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Deze richtlijn is van toepassing op publieke of particuliere entiteiten van een in de bijlagen I en II bedoeld type die in aanmerking komen als middelgrote ondernemingen uit hoofde van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, of de in lid 1 van dat artikel vastgestelde plafonds voor middelgrote ondernemingen overschrijden, en die hun diensten verlenen of hun activiteiten verrichten in de Unie.

Artikel 3, lid 4, van de bijlage bij die aanbeveling geldt niet voor de toepassing van deze richtlijn.

2.

Deze richtlijn is ook van toepassing op entiteiten van het in bijlage I of II bedoelde soort, ongeacht hun omvang, wanneer:

a)

de diensten verleend worden door:

i)

aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten;

ii)

aanbieders van vertrouwensdiensten;

iii)

registers voor topleveldomeinnamen en aanbieders van domeinnaamsysteemdiensten;

b)

de entiteit in een lidstaat de enige aanbieder is van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten;

c)

verstoring van de door de entiteit verleende dienst aanzienlijke gevolgen kan hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;

d)

verstoring van de door de entiteit verleende dienst een aanzienlijk systeemrisico met zich kan brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;

e)

de entiteit kritiek is vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in de lidstaat;

f)

de entiteit een overheidsinstantie is:

i)

van de centrale overheid zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, of

ii)

op regionaal niveau zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, die, na een risicobeoordeling, diensten verleent waarvan de verstoring aanzienlijke gevolgen kan hebben voor kritieke maatschappelijke of economische activiteiten.

3.

Deze richtlijn is van toepassing op entiteiten die worden aangemerkt als een kritieke entiteit uit hoofde van Richtlijn (EU) 2022/2557, ongeacht hun omvang.

4.

Deze richtlijn is van toepassing op entiteiten die domeinnaamregistratiediensten verrichten, ongeacht hun omvang.

5.

De lidstaten kunnen bepalen dat deze richtlijn van toepassing is op:

a)

overheidsinstanties op lokaal niveau;

b)

onderwijsinstellingen, met name wanneer zij kritieke onderzoeksactiviteiten verrichten.

6.

Deze richtlijn laat de verantwoordelijkheid van de lidstaten om de nationale veiligheid te beschermen en hun bevoegdheid om andere essentiële staatsfuncties te beschermen, waaronder het verdedigen van de territoriale integriteit van de staat en het handhaven van de openbare orde, onverlet.

7.

Deze richtlijn is niet van toepassing op overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.

8.

De lidstaten kunnen specifieke entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, of die uitsluitend diensten verlenen aan de in lid 7 van dit artikel bedoelde overheidsinstanties, met betrekking tot die activiteiten of diensten vrijstellen van de in artikel 21 of artikel 23 vastgestelde verplichtingen. In dergelijke gevallen zijn de in hoofdstuk VII bedoelde toezicht- en handhavingsmaatregelen niet van toepassing op die specifieke activiteiten of diensten. Wanneer de entiteiten uitsluitend activiteiten verrichten of diensten verlenen van het in dit lid bedoelde type kunnen de lidstaten besluiten om die entiteiten ook vrij te stellen van de in de artikelen 3 en 27 vastgestelde verplichtingen.

9.

De leden 7 en 8 zijn niet van toepassing wanneer een entiteit optreedt als aanbieder van vertrouwensdiensten.

10.

Deze richtlijn is niet van toepassing op entiteiten die door lidstaten zijn uitgesloten van het toepassingsgebied van Verordening (EU) 2022/2554 in overeenstemming met artikel 2, lid 4, van die verordening.

11.

De in deze richtlijn vastgelegde verplichtingen omvatten niet de verstrekking van informatie waarvan de bekendmaking strijdig zou zijn met de wezenlijke belangen van nationale veiligheid van de lidstaten, openbare veiligheid of defensie.

12.

Deze richtlijn is van toepassing onverminderd Verordening (EU) 2016/679, Richtlijn 2002/58/EG, Richtlijnen 2011/93/EU (1) en 2013/40/EU(2) van het Europees Parlement en de Raad, en Richtlijn (EU) 2022/2557.

13.

Onverminderd artikel 346 VWEU wordt informatie die krachtens Unie- of nationale voorschriften vertrouwelijk is, zoals de voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie, alleen met de Commissie en andere bevoegde autoriteiten overeenkomstig deze richtlijn uitgewisseld wanneer die uitwisseling noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie blijft beperkt tot de informatie die relevant is en evenredig staat tot het doel van die uitwisseling. Bij de uitwisseling van informatie wordt de vertrouwelijkheid van die informatie gewaarborgd en worden de veiligheids- en commerciële belangen van betrokken entiteiten beschermd.

14.

Entiteiten, de bevoegde autoriteiten, de centrale contactpunten en de CSIRT's verwerken persoonsgegevens voor zover dat nodig is voor de toepassing van deze richtlijn en in overeenstemming met Verordening (EU) 2016/679, en met name berust een dergelijke verwerking op artikel 6 daarvan.

De verwerking van persoonsgegevens uit hoofde van deze richtlijn door aanbieders van openbare elektronischecommunicatienetwerken of aanbieders van openbare elektronischecommunicatiediensten wordt uitgevoerd overeenkomstig het Unierecht inzake gegevensbescherming en het Unierecht inzake privacy, met name Richtlijn 2002/58/EG.

Deze functie is alleen te gebruiken als je bent ingelogd.