Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn):artikel 33

Artikel 33 Toezichts- en handhavingsmaatregelen met betrekking tot belangrijke entiteiten

Geldend

Documentgegevens:

Geldend vanaf 16-01-2023

Bronpublicatie:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2555)
Inwerkingtreding: 16-01-2023
Bronpublicatie inwerkingtreding:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2555)
Vakgebied(en): Privacy / Bescherming persoonsgegevens
Informatierecht / ICT
Openbare orde en veiligheid / Algemeen

1.

Wanneer het bewijs, de aanwijzing of informatie wordt geleverd dat een belangrijke entiteit beweerdelijk deze richtlijn, en met name de artikelen 21 en 23, niet nakomt, zorgen de lidstaten ervoor dat de bevoegde autoriteiten zo nodig maatregelen nemen door middel van toezichtmaatregelen achteraf. De lidstaten zorgen ervoor dat die maatregelen doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de omstandigheden van ieder afzonderlijk geval.

2.

De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken met betrekking tot belangrijke entiteiten de bevoegdheid hebben om deze entiteiten te onderwerpen aan ten minste:

a): inspecties ter plaatse en toezicht elders achteraf, uitgevoerd daartoe door opgeleide professionals;
b): door een onafhankelijke instantie of een bevoegde autoriteit uitgevoerde gerichte beveiligingsaudits;
c): beveiligingsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicobeoordelingscriteria, indien nodig in samenwerking met de betrokken entiteit;
d): verzoeken om informatie die nodig is om de door de betrokken entiteit genomen maatregelen voor het beheer van cyberbeveiligingsrisico's achteraf te beoordelen, met inbegrip van gedocumenteerd cyberbeveiligingsbeleid, alsmede de naleving van de verplichting op grond van artikel 27 om informatie in te dienen bij de bevoegde autoriteiten;
e): verzoeken om toegang tot gegevens, documenten en informatie die nodig zijn voor de uitoefening van hun toezichthoudende taken;
f): verzoeken om bewijs van de uitvoering van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die door een gekwalificeerde auditor zijn uitgevoerd en de respectieve onderliggende bewijzen.

De in de eerste alinea, punt b), bedoelde gerichte beveiligingsaudits zijn gebaseerd op door de bevoegde autoriteit of de gecontroleerde entiteit uitgevoerde risicobeoordelingen of op andere beschikbare risicogerelateerde informatie.

De resultaten van een gerichte beveiligingsaudit worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte door onafhankelijke instantie uitgevoerde beveiligingsaudit, worden betaald door de gecontroleerde entiteit, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders besluit.

3.

Bij de uitoefening van hun bevoegdheden uit hoofde van lid 2, punt d), e) of f), vermelden de bevoegde autoriteiten het doel van het verzoek en de gevraagde informatie.

4.

De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van belangrijke entiteiten, ten minste de bevoegdheid hebben om:

a): waarschuwingen te geven over inbreuken op deze richtlijn door de betrokken entiteiten;
b): bindende aanwijzingen vast te stellen of een bevel uit te vaardigen waarin de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuk op deze richtlijn te verhelpen;
c): de betrokken entiteiten te gelasten een einde te maken aan gedragingen die inbreuk maken op deze richtlijn en af te zien van herhaling van die gedragingen;
d): de betrokken entiteiten te gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen voor het beheer van cyberbeveiligingsrisico's in overeenstemming zijn met artikel 21 of te voldoen aan de in artikel 23 vastgestelde rapportageverplichtingen;
e): de betrokken entiteiten te gelasten de natuurlijke of rechtspersonen ten aanzien van wie zij diensten verlenen of activiteiten uitvoeren die mogelijkerwijs door een significante cyberdreiging worden beïnvloed, in kennis te stellen van de aard van de dreiging en alle mogelijke beschermings- of herstelmaatregelen die deze natuurlijke of rechtspersonen kunnen nemen als reactie op die dreiging;
f): de betrokken entiteiten te gelasten de naar aanleiding van een beveiligingsaudit gedane aanbevelingen binnen een redelijke termijn uit te voeren;
g): de betrokken entiteiten te gelasten aspecten van inbreuken op deze richtlijn op een bepaalde manier openbaar te maken;
h): op grond van artikel 34 een administratieve geldboete op te leggen of de oplegging ervan door de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht te verzoeken bovenop een van de in de punten a) tot en met g) van dit lid bedoelde maatregelen.

5.

Artikel 32, leden 6 tot en met 8, is van overeenkomstige toepassing op de toezichts- en handhavingsmaatregelen waarin dit artikel voorziet voor belangrijke entiteiten.

6.

De lidstaten zorgen ervoor dat hun uit hoofde van deze richtlijn bevoegde autoriteiten samenwerken met de relevante uit hoofde van Verordening (EU) 2022/2554 bevoegde autoriteiten van de betrokken lidstaat. De lidstaten zorgen er met name voor dat hun uit hoofde van deze richtlijn bevoegde autoriteiten het oversightforum dat is opgericht op grond van artikel 32, lid 1, van Verordening (EU) 2022/2554 in kennis stellen wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een belangrijke entiteit die op grond van artikel 31 van Verordening (EU) 2022/2554 als kritieke derde aanbieder van ICT-diensten is aangewezen, voldoet aan deze richtlijn.