Toelichting bij COM(2013)48 - Maatregelen om een hoog niveau van netwerk- en informatiebeveiliging in de Europese Unie te bereiken - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2013)48 - Maatregelen om een hoog niveau van netwerk- en informatiebeveiliging in de Europese Unie te bereiken. |
|---|---|
| bron | COM(2013)48   |
| datum | 07-02-2013 |
Dit voorstel wordt gepresenteerd samen met de gezamenlijke mededeling van de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid over een Europese strategie voor cyberbeveiliging. Doel van de strategie is een beveiligde en betrouwbare digitale omgeving te waarborgen en tegelijkertijd de grondrechten en andere essentiële waarden van de EU te bevorderen en te beschermen. Dit voorstel vormt de kernactie van de strategie. Andere acties in het kader van de strategie op dit gebied zijn gericht op bewustmaking, ontwikkeling van een interne markt voor cyberbeveiligingsproducten en ‑diensten en bevordering van investeringen in O&O. Deze acties zullen worden aangevuld door weer andere acties voor het intensiveren van de bestrijding van cybercriminaliteit en het ontwikkelen van een internationaal cyberbeveiligingsbeleid voor de EU.
NIB wordt steeds belangrijker voor onze economie en onze samenleving. Bovendien is het onmogelijk om een betrouwbare omgeving voor de wereldwijde handel in diensten te creëren zonder NIB. Toch kunnen informatiesystemen te lijden krijgen van beveiligingsincidenten, zoals menselijke fouten, natuurgerelateerde omstandigheden, technisch falen of kwaadwillige aanvallen. Dergelijke incidenten nemen toe in omvang, frequentie en complexiteit. Uit de openbare online-raadpleging van de Commissie over het verbeteren van de netwerk‑ en informatiebeveiliging in de EU[1] is gebleken dat 57 % van de respondenten het afgelopen jaar last heeft gehad van NIB‑incidenten die hun activiteiten ernstig hebben beïnvloed. Falende NIB kan vitale diensten die afhangen van de integriteit van de netwerk‑ en informatiesystemen, in gevaar brengen. Dit kan tot gevolg hebben dat bedrijven hun werk niet meer kunnen doen, de economie van de EU aanzienlijke financiële verliezen lijdt en de samenleving aan welzijn inboet.
Bovendien zijn digitale informatiesystemen, in het bijzonder het internet, communicatie-instrumenten zonder grenzen, die dus over de grenzen van de lidstaten met elkaar verbonden zijn en een essentiële rol spelen in het vergemakkelijken van grensoverschrijdend verkeer van goederen, diensten en personen. Ingrijpende verstoringen van deze systemen in één lidstaat kunnen voelbaar worden in andere lidstaten en in de EU als geheel. Voor de verwezenlijking van de digitale eengemaakte markt en de vlotte werking van de interne markt is het daarom van wezenlijk belang dat netwerk‑ en informatiesystemen zowel veerkrachtig als stabiel zijn. Bovendien verliest het publiek zijn vertrouwen in netwerk‑ en informatiediensten als incidenten zich met steeds grotere waarschijnlijkheid en frequentie voordoen en niet voor doeltreffende beveiliging kan worden gezorgd. Zo heeft het Eurobarometer‑onderzoek over cyberbeveiliging uit 2012 aan het licht gebracht dat 38 % van de internetgebruikers in de EU zich zorgen maakt over de veiligheid van online-betalingen en zijn gedrag als gevolg van die bezorgdheid over beveiliging heeft veranderd: respectievelijk 18 % en 15 % van hen zal minder waarschijnlijk producten online kopen en gebruikmaken van online bankieren[2].
Het bestaande beveiligingsniveau in de EU is een weerspiegeling van de louter op vrijwilligheid gebaseerde aanpak die tot dusverre is gevolgd en biedt onvoldoende bescherming tegen EU‑wijde NIB‑incidenten en ‑risico's. De huidige capaciteit en de bestaande mechanismen voor NIB volstaan eenvoudigweg niet om gelijke tred met de zeer uiteenlopende gevaren te houden en om in alle lidstaten hetzelfde hoge beschermingsniveau te waarborgen.
Hoewel in dit verband al initiatieven zijn genomen, verschilt het capaciteits‑ en paraatheidsniveau sterk van lidstaat tot lidstaat, wat een versnippering in de wijze van aanpakken in de EU te zien geeft. Aangezien netwerken en systemen onderling verbonden zijn, is het EU‑wijde NIB‑niveau maar net zo sterk als dat van de lidstaat met het laagste beschermingsniveau. Een dergelijke situatie maakt het de partijen bovendien moeilijk elkaar te vertrouwen, terwijl dat precies de voorwaarde is om samen te werken en informatie uit te wisselen. Gevolg: slechts een minderheid van lidstaten, elk met een hoog capaciteitsniveau, werkt samen.
Daarom bestaat op EU‑niveau momenteel geen efficiënt mechanisme aan de hand waarvan de lidstaten doeltreffend kunnen samenwerken en in vertrouwen informatie kunnen uitwisselen op het gebied van NIB‑incidenten en ‑risico's. Dit kan resulteren in ongecoördineerde regelgeving, onsamenhangende strategieën en uiteenlopende normen, met als gevolg ontoereikende bescherming tegen NIB‑risico's in de EU. Voorts kunnen marktbelemmeringen ontstaan die nalevingskosten creëren voor bedrijven die in meer dan één lidstaat actief zijn.
Tot slot zij erop gewezen dat voor de spelers die kritieke infrastructuur beheren of diensten aanbieden welke essentieel zijn voor de werking van onze maatschappij, geen adequate verplichtingen gelden om risicobeheermaatregelen te nemen en informatie uit te wisselen met betrokken autoriteiten. Dit betekent, enerzijds, dat bedrijven onvoldoende worden gestimuleerd om een ernstig risicobeheerbeleid te voeren, onder meer door de risico's te beoordelen en maatregelen te nemen die borg staan voor NIB, en, anderzijds, dat een groot aandeel van de incidenten niet tot de bevoegde autoriteiten doordringt en onopgemerkt blijft. Informatie over incidenten is echter van essentieel belang om de overheden in staat te stellen op incidenten te reageren, de juiste risicobeperkende maatregelen te nemen en adequate strategische prioriteiten voor NIB vast te stellen.
Op grond van het bestaande regelgevingskader moeten alleen de telecombedrijven risicobeheermaatregelen nemen en ernstige NIB‑incidenten rapporteren. Tal van andere sectoren blijven dus buiten beeld, hoewel zij afhankelijk zijn van ICT als faciliterende factor en daarom ook belang hebben bij NIB. Bepaalde specifieke aanbieders van infrastructuur en diensten zijn bijzonder kwetsbaar omdat zij sterk afhankelijk zijn van correct werkende netwerk‑ en informatiesystemen. Deze sectoren spelen een essentiële rol door onmisbare ondersteunende diensten voor onze economie en onze samenleving te leveren, en de beveiliging van hun systemen is dan ook van bijzonder belang voor de werking van de interne markt. Het gaat onder meer om de volgende sectoren: banken, beurzen, opwekking, transport en distributie van energie, lucht‑, spoor‑ en zeevervoer, gezondheid, internetdiensten en de overheid.
Gezien deze achtergrond moet de aanpak van NIB in de EU stapsgewijs worden veranderd. Om een gelijk speelveld te creëren en bestaande lacunes in de wetgeving te dichten, moeten wettelijke verplichtingen worden vastgesteld. Om de problemen in dit verband op te lossen en het NIB‑niveau in de Europese Unie te verhogen, worden in het onderhavige richtlijnvoorstel de volgende doelstellingen vooropgesteld.
In de eerste plaats moet elke lidstaat zorgen voor een minimale nationale capaciteit door voor NIB bevoegde autoriteiten aan te wijzen, computercrisisteams op te zetten (Computer Emergency Response Teams – CERT's) en nationale NIB‑strategieën en ‑samenwerkingsplannen vast te stellen.
In de tweede plaats moeten de nationale bevoegde autoriteiten samenwerken in het kader van een netwerk dat beveiligde en doeltreffende coördinatie, inclusief gecoördineerde informatie‑uitwisseling, alsmede opsporing en reactie op EU‑niveau mogelijk maakt. De lidstaten moeten via dit netwerk informatie uitwisselen en samenwerken om NIB‑dreigingen en ‑incidenten aan te pakken op basis van het Europese NIB‑samenwerkingsplan.
In de derde plaats moet er, uitgaande van het model van de kaderrichtlijn voor elektronische communicatie, voor worden gezorgd dat een cultuur van risicobeheer ingang vindt en dat de particuliere en de openbare sector onderling informatie uitwisselen. Zowel bedrijven uit de hierboven genoemde specifieke kritieke sectoren als overheden zullen ertoe worden verplicht de risico's waarmee zij worden geconfronteerd, te beoordelen, passende en evenredige maatregelen te nemen om NIB te waarborgen en aan de bevoegde autoriteiten verslag uit te brengen over incidenten die hun netwerken en informatiesystemen ernstig in gevaar brengen en de continuïteit van kritieke diensten en de levering van goederen significant beïnvloeden.
Reeds in 2001 wijst de Commissie in haar mededeling 'Netwerk- en informatieveiligheid: Voorstel voor een Europese beleidsaanpak' op het toenemende belang van NIB[3]. Daarop volgt in 2006 de mededeling 'Een strategie voor een veilige informatiemaatschappij'[4], die moet leiden tot een cultuur van NIB in Europa. De Raad bekrachtigt de voornaamste punten daarvan in een resolutie[5].
Op 30 maart 2009 stelt de Commissie een mededeling over bescherming van kritieke informatie‑infrastructuur[6] vast waarin zij met name nagaat hoe Europa aan de hand van betere beveiliging kan worden beschermd tegen cyberverstoringen. In de mededeling wordt een actieplan voorgesteld om de inspanningen van de lidstaten om preventie en reactie te waarborgen, te ondersteunen. Het actieplan wordt bekrachtigd in de conclusies van het voorzitterschap van de ministerconferentie over de bescherming van kritieke informatie‑infrastructuur die in 2009 in Tallinn is gehouden. Op 18 december 2009 neemt de Raad een resolutie aan over een coöperatieve Europese aanpak met betrekking tot netwerk- en informatiebeveiliging[7].
In de Digitale agenda voor Europa[8] (DAE), die in mei 2010 wordt aangenomen, en in de desbetreffende conclusies van de Raad[9] wordt gewezen op het gemeenschappelijke besef dat vertrouwen en beveiliging essentiële vereisten zijn om tot een ruime verbreiding van ICT te komen en dus ook om de doelstellingen van de dimensie 'slimme groei' van de Europa 2020‑strategie te bereiken[10]. In de DAE, meer bepaald in het hoofdstuk over vertrouwen en beveiliging, wordt onderstreept dat alle belanghebbende partijen de handen in elkaar moeten slaan om enerzijds in het kader van een holistische aanpak de beveiliging en de veerkracht van de ICT‑infrastructuur te waarborgen door gericht in te zetten op preventie, paraatheid en bewustmaking, en anderzijds doeltreffende en gecoördineerde beveiligingsmechanismen te ontwikkelen. Kernactie 6 van de Digitale agenda voor Europa in het bijzonder heeft tot doel maatregelen vast te stellen voor een versterkt NIB‑beleid op hoog niveau.
In haar mededeling van maart 2011 over de bescherming van kritieke informatie‑infrastructuur 'Bereikte resultaten en volgende stappen: naar mondiale cyberveiligheid'[11] maakt de Commissie een inventaris op van de resultaten die geboekt zijn sinds het actieplan voor de bescherming van kritieke informatie‑infrastructuur in 2009 is vastgesteld. Zij concludeert naar aanleiding van de tenuitvoerlegging van het actieplan dat louter nationale maatregelen voor het aanpakken van de uitdagingen op het gebied van beveiliging en veerkracht niet volstaan en dat Europa moet blijven werken aan een samenhangende en op samenwerking gebaseerde EU‑wijde aanpak. In deze mededeling uit 2011 kondigt de Commissie een aantal acties aan en roept zij de lidstaten op om NIB‑capaciteit en grensoverschrijdende samenwerking van de grond te tillen. Deze acties moesten voor het merendeel in 2012 worden afgerond, maar zijn inmiddels nog niet ten uitvoer gelegd.
In zijn conclusies van 27 mei 2011 over bescherming van kritieke informatie‑infrastructuur beklemtoont de Raad van de Europese Unie de noodzaak om IT‑systemen en ‑netwerken voldoende robuust te maken en ze te beveiligen tegen alle mogelijke accidentele of opzettelijke verstoringen, om in de EU een hoge mate van paraatheid, veiligheid en robuustheid te ontwikkelen, om de technische bekwaamheid te vergroten opdat Europa de uitdaging kan aangaan om de netwerken en de informatie‑infrastructuur te beveiligen, en om samenwerking tussen de lidstaten te bevorderen door regelingen voor samenwerking tussen de lidstaten bij incidenten uit te werken.
In 2004 heeft de Europese Gemeenschap op grond van Verordening (EG) nr. 460/2004 het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA)[12] opgericht, dat tot taak heeft te zorgen voor een hoog niveau van netwerk- en informatiebeveiliging en een cultuur van netwerk- en informatiebeveiliging in de Europese Unie. Op 30 september 2010[13] is een voorstel tot modernisering van het mandaat van ENISA aangenomen dat momenteel in de Raad en het Europees Parlement wordt behandeld. Krachtens het herziene regelgevingskader voor elektronische communicatie[14] dat sinds november 2009 van kracht is, moeten aanbieders van elektronischecommunicatiediensten verplichtingen op het gebied van beveiliging in acht nemen[15]. Deze verplichtingen moesten uiterlijk in mei 2011 in nationaal recht zijn omgezet.
Alle spelers die tevens voor de gegevensverwerking verantwoordelijk zijn (zoals banken en ziekenhuizen), moeten op grond van het regelgevingskader inzake gegevensbescherming[16] beveiligingsmaatregelen nemen om persoonsgegevens te beschermen. Voorts wordt in het uit 2012 daterende voorstel van de Commissie inzake een algemene verordening gegevensbescherming[17] voorgesteld de voor de verwerking verantwoordelijke ertoe te verplichten inbreuken in verband met persoonsgegevens te melden aan de nationale toezichthoudende autoriteit. Dit houdt bijvoorbeeld in dat inbreuken in verband met NIB‑beveiliging die gevolgen hebben voor de levering van een dienst, maar geen risico inhouden voor persoonsgegevens (zoals het uitvallen van de ICT's bij een elektriciteitsbedrijf als gevolg van een stroompanne) niet hoeven te worden gemeld.
De overkoepelende benadering voor bescherming van kritieke infrastructuur in de EU is vastgelegd in Richtlijn 2008/114/EG inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren[18]. De doelstellingen van die richtlijn komen volledig overeen met de richtlijn die nu wordt voorgesteld en die onverminderd Richtlijn 2008/114/EG dient te worden toegepast. Richtlijn 2008/114/EG behelst geen verplichting voor de exploitanten om significante inbreuken in verband met beveiliging te melden. Evenmin worden bij die richtlijn mechanismen in het leven geroepen om de samenwerking en de reactie van lidstaten bij incidenten in goede banen te leiden.
De EU‑instellingen met wetgevingsbevoegdheden buigen zich momenteel over een voorstel van de Commissie voor een richtlijn over aanvallen op informatiesystemen[19] die tot doel heeft de strafrechtelijke behandeling van specifieke soorten gedragingen te harmoniseren. Dit voorstel heeft uitsluitend betrekking op de strafrechtelijke behandeling van specifieke soorten gedragingen, en niet op de preventie van NIB‑risico's en ‑incidenten, noch op de reactie op NIB‑incidenten en de mildering van de impact ervan. De onderhavige richtlijn dient van toepassing te zijn onverminderd de richtlijn over aanvallen op informatiesystemen.
Op 28 maart 2012 heeft de Commissie een mededeling aangenomen over de oprichting van een Europees Centrum voor de bestrijding van cybercriminaliteit[20]. Dit centrum is op 11 januari 2013 opgericht als onderdeel van Europol en vormt de spil in de strijd tegen cybercriminaliteit in de EU. Het is de bedoeling om in het Europees Centrum voor de bestrijding van cybercriminaliteit alle expertise op het gebied van cybercriminaliteit samen te brengen en zodoende de lidstaten te ondersteunen bij capaciteitsopbouw en bij onderzoeken in verband met cybercriminaliteit. Daarnaast moet het centrum, in nauwe samenwerking met Eurojust, de collectieve spreekbuis worden voor alle onderzoekers die in Europa in wetshandhavings‑ en gerechtelijke instanties actief zijn op het gebied van cybercriminaliteit.
De instellingen, agentschappen en organen van de EU hebben hun eigen computercrisisteam ("EU‑CERT") om zich te beveiligen tegen computercriminaliteit en ‑incidenten.
In internationale fora werkt de EU zowel op bilateraal als op multilateraal niveau aan cyberbeveiliging. Zo is naar aanleiding van de topontmoeting van de EU en de VS[21] een EU‑VS‑werkgroep inzake cyberbeveiliging en cybercriminaliteit opgericht. Voorts is de EU actief in andere ter zake relevante multilaterale fora, zoals de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), de Algemene Vergadering van de Verenigde Naties, de Internationale Telecommunicatie Unie (ITU), de Organisatie voor Veiligheid en Samenwerking in Europa (OVSE), de Wereldtop over de informatiemaatschappij (WSIS) en het Forum voor internetbeheer.
Inhoudsopgave
- Resultaten van de raadpleging van belanghebbenden en effectbeoordeling
- Juridische elementen van het voorstel
- Gevolgen voor de begroting
- 1.1. Motivering en doel van het voorstel
- 1.2. Algemene context
- 1.3. Bestaande Europese en internationale bepalingen op dit gebied
- 2.1. Raadpleging van de betrokken partijen en gebruik van expertise
- 2.2. Effectbeoordeling
- 3.1. Rechtsgrondslag
- 3.2. Subsidiariteit
Van 23 juli tot 15 oktober 2012 is online een openbare raadpleging gehouden met als onderwerp de verbetering van NIB in de EU. De Commissie heeft in totaal 160 reacties op de online‑vragenlijst ontvangen.
Belangrijkste resultaat is dat de belanghebbende partijen het doorgaans eens zijn met de stelling dat NIB in de EU aan verbetering toe is. Meer in het bijzonder vindt 82,8 % van de respondenten dat de regeringen in de EU meer moeten doen om een hoog NIB‑niveau te garanderen, is 82,8 % van mening dat gebruikers van informatie en systemen zich niet bewust zijn van bestaande NIB‑dreigingen en ‑incidenten, is 66,3 % in beginsel voor de invoering van een wettelijke vereiste om NIB‑risico's te beheren, en spreekt 84,8 % zich uit voor de vaststelling van dergelijke vereisten op EU‑niveau. Een groot aantal respondenten vindt het belangrijk dat met name in de volgende sectoren NIB‑vereisten worden vastgesteld: het bankwezen en de financiële wereld (91,1 %), energie (89,4 %), transport (81,7 %), gezondheid (89,4 %), internetdiensten (89,1 %) en de overheid (87,5 %). Voorts zijn de respondenten van mening dat indien een verplichting om inbreuken in verband met NIB‑beveiliging aan de nationale bevoegde autoriteit te melden, wordt ingevoerd, deze verplichting op EU‑niveau moet worden vastgesteld (65,1 %) en ook door de overheden moet worden nagekomen (93,5 %). Tot slot geven de respondenten aan dat de eis om het risicobeheer in verband met NIB volgens de stand van de techniek ten uitvoer te leggen, geen significante extra kosten voor hen met zich mee zou brengen (63,4 %), net zomin als de eis om inbreuken in verband met beveiliging te rapporteren (72,3 %).
De lidstaten zijn eveneens geraadpleegd: in verschillende Raadsformaties, in het kader van het Europees Forum voor de lidstaten, naar aanleiding van de conferentie over cyberbeveiliging die de Europese Commissie en de Europese dienst voor extern optreden op 6 juli 2012 hebben gehouden, en in gespecialiseerde bilaterale vergaderingen die op verzoek van individuele lidstaten zijn belegd.
Ook met de particuliere sector zijn besprekingen gevoerd, meer bepaald in het kader van het Europees publiek-privaat partnerschap voor veerkracht[22] en in bilaterale vergaderingen. Met betrekking tot de openbare sector heeft de Commissie gesprekken gehad met ENISA en, voor wat de Europese instellingen betreft, met de CERT.
De Commissie heeft voor drie beleidsopties een effectbeoordeling uitgevoerd.
Optie 1: Status-quo (basisscenario): de huidige aanpak wordt voortgezet.
Optie 2: Regelgeving, bestaande uit een wetgevingsvoorstel tot vaststelling van een gemeenschappelijk EU‑wetskader voor NIB wat betreft de capaciteit van de lidstaten, mechanismen voor samenwerking op EU‑niveau en vereisten voor essentiële particuliere spelers en overheden.
Optie 3: Een combinatie van op vrijwilligheid gebaseerde initiatieven voor de NIB‑capaciteit van de lidstaten en mechanismen voor samenwerking op EU‑niveau met wettelijke vereisten voor essentiële particuliere spelers en overheden.
De Commissie komt tot de slotsom dat optie 2 de grootste positieve impact zou hebben, aangezien zowel consumenten als ondernemingen en overheden in de EU aanzienlijk beter tegen NIB‑incidenten zouden worden beschermd. Met name zouden de verplichtingen waaraan de lidstaten moeten voldoen, niet alleen borg staan voor een adequate paraatheid op nationaal niveau, maar ook bijdragen tot een klimaat van wederzijds vertrouwen – per slot van rekening een voorwaarde voor doeltreffende samenwerking op EU‑niveau. Mechanismen om op EU‑niveau via het netwerk samen te werken, zouden het mogelijk maken om bij grensoverschrijdende NIB‑incidenten en ‑risico's zowel preventie als reactie samenhangend en gecoördineerd aan te pakken. De invoering van vereisten om NIB‑risicobeheer voor overheden en essentiële particuliere spelers ten uitvoer te leggen, zou een krachtige stimulans creëren om beveiligingsrisico's doeltreffend te beheren. De verplichting om NIB‑incidenten met een aanzienlijke impact te rapporteren, zou de capaciteit om op incidenten te reageren versterken en de transparantie bevorderen. Bovendien zou de EU, door haar zaken op orde te brengen, haar internationale invloed kunnen uitbreiden en haar – nu al aanzienlijke – geloofwaardigheid als partner op bilateraal en multilateraal niveau nog meer kracht kunnen bijzetten. De EU zou dan ook in een betere positie verkeren om de grondrechten en essentiële waarden van de EU te bevorderen.
Uit de kwantitatieve beoordeling is gebleken dat optie 2 geen onevenredige belasting van de lidstaten met zich zou brengen. Ook de kosten voor de particuliere sector zouden binnen de perken blijven aangezien veel betrokken organisaties verondersteld worden al aan de bestaande beveiligingseisen te voldoen (voor de verwerking verantwoordelijke personen moeten namelijk technische en organisatorische maatregelen, inclusief NIB‑maatregelen, nemen om persoonsgegevens te beveiligen). Bestaande uitgaven voor beveiliging in de particuliere sector zijn overigens ook in aanmerking genomen.
Dit voorstel is in overeenstemming met de beginselen van het Handvest van de grondrechten van de Europese Unie, meer bepaald het recht op eerbiediging van het privéleven en communicatie, de bescherming van persoonsgegevens, de vrijheid van ondernemerschap, het recht op eigendom, het recht op een doeltreffende voorziening in rechte en het recht te worden gehoord. Deze richtlijn moet overeenkomstig deze rechten en beginselen ten uitvoer worden gelegd.
De Europese Unie is gemachtigd tot het vaststellen van de maatregelen die ertoe bestemd zijn de interne markt tot stand te brengen en de werking ervan te verzekeren, overeenkomstig de bepalingen ter zake van de Verdragen (artikel 26 van het Verdrag betreffende de werking van de Europese Unie – VWEU). Krachtens artikel 114 VWEU kan de EU maatregelen vaststellen 'inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling en de werking van de interne markt betreffen'.
Zoals hierboven reeds vermeld, spelen netwerk‑ en informatiesystemen een essentiële rol in het vergemakkelijken van grensoverschrijdend verkeer van goederen, diensten en personen. Zij zijn vaak met elkaar verbonden en het internet is van nature uit mondiaal georiënteerd. Vanwege deze intrinsiek internationale dimensie kan een verstoring in één lidstaat voelbaar worden in andere lidstaten en in de EU als geheel. Voor de vlotte werking van de interne markt is het daarom van het grootste belang dat netwerk‑ en informatiesystemen veerkrachtig en stabiel zijn.
De EU‑wetgever heeft reeds erkend dat de NIB‑regels moeten worden geharmoniseerd, wil men de ontwikkeling van de interne markt garanderen. Dit geldt met name voor de op artikel 114 VWEU gebaseerde Verordening (EG) nr. 460/2004 tot oprichting van ENISA[23].
De scheefgetrokken situatie die het gevolg is van verschillen in nationale capaciteit, beleid en beschermingsniveau tussen de lidstaten, belemmert de werking van de interne markt en rechtvaardigt een optreden van de EU.
Het subsidiariteitsbeginsel rechtvaardigt een optreden van de EU op het gebied van NIB.
Gezien het grensoverschrijdende karakter van NIB zou, wanneer de EU niet optreedt, een situatie ontstaan waarin elke lidstaat alleen maatregelen neemt en geen rekening wordt gehouden met de verwevenheid van de netwerk‑ en informatiesystemen in de EU. Adequate coördinatie tussen de lidstaten moet garanderen dat NIB‑risico's naar behoren worden beheerd in de grensoverschrijdende context waarin zij zich voordoen. Verschillen in de NIB‑regelgeving vormen een belemmering voor bedrijven die hun activiteit tot meerdere landen willen uitbreiden, en staan het realiseren van wereldwijde schaalvoordelen in de weg.
Ten tweede moeten wettelijke verplichtingen op EU‑niveau worden vastgesteld om een gelijk speelveld te creëren en lacunes in de wetgeving te dichten. De louter op vrijwilligheid gebaseerde aanpak die tot dusverre is gevolgd, heeft slechts een minderheid van lidstaten, elk met een hoog capaciteitsniveau, tot samenwerking gestimuleerd. De overige lidstaten kunnen in dit verband alleen over de streep worden gehaald als zij allemaal over het vereiste minimale capaciteitsniveau beschikken. Van overheidswege vastgestelde NIB‑maatregelen moeten met elkaar in overeenstemming zijn en onderling worden gecoördineerd om de gevolgen van NIB‑incidenten in te dijken en tot een minimum te beperken. In het kader van het netwerk zullen de bevoegde autoriteiten en de Commissie, middels het uitwisselen van beste praktijken en de continue betrokkenheid van ENISA, samenwerken om een samenhangende tenuitvoerlegging van de richtlijn in de EU te waarborgen. Bovendien kunnen gezamenlijke beleidsmaatregelen op het gebied van NIB een sterk positief effect hebben op de bescherming van de grondrechten, en met name het recht op bescherming van persoonsgegevens en van het privéleven. Optreden op EU‑niveau zou de doeltreffendheid van bestaande nationale beleidslijnen ten goede komen en de ontwikkeling van dergelijke beleidslijnen vergemakkelijken.
Ook het evenredigheidsbeginsel kan worden aangevoerd als rechtvaardiging voor de voorgestelde maatregelen. De NIB‑vereisten waaraan de lidstaten moeten voldoen, worden vastgesteld op het minimale niveau dat vereist is voor een adequate paraatheid en een op vertrouwen gebaseerde samenwerking. Dit biedt de lidstaten de mogelijkheid om rekening te houden met hun eigen specifieke situatie en zorgt ervoor dat de gemeenschappelijke EU‑beginselen op een evenredige manier worden toegepast. Dankzij de ruime werkingssfeer kunnen de lidstaten de tenuitvoerlegging van de richtlijn afstemmen op de daadwerkelijk op nationaal niveau bestaande risico's die in de nationale NIB‑strategie zijn omschreven. De vereisten voor de toepassing van risicobeheer hebben enkel betrekking op kritieke organisaties en verplichten tot het vaststellen van maatregelen die evenredig zijn aan de risico's. In het kader van de openbare raadpleging is benadrukt hoe belangrijk het is dat de beveiliging van deze kritieke organisaties wordt gewaarborgd. De rapportagevoorschriften betreffen uitsluitend incidenten met een aanzienlijke impact. Zoals hierboven reeds is vermeld, brengen de maatregelen geen onevenredige kosten met zich mee, aangezien een groot aantal van deze organisaties, in hun hoedanigheid van voor de verwerking van gegevens verantwoordelijke, op grond van de vigerende gegevensbeschermingsvoorschriften nu al moeten zorgen voor de beveiliging van de bescherming van persoonsgegevens.
Om te voorkomen dat kleinschalige exploitanten, met name het mkb, onevenredig zwaar worden belast, staan de vereisten in verhouding tot het risico voor het betrokken netwerk of informatiesysteem en moeten microbedrijven van de toepassing van deze vereisten worden vrijgesteld. De risico's moeten in de eerste plaats worden bepaald door de organisaties waarvoor deze verplichtingen gelden. Zij zullen moeten beslissen welke maatregelen dienen te worden vastgesteld om deze risico's te verkleinen.
Gezien het grensoverschrijdende karakter van NIB‑incidenten en ‑risico's kunnen de vooropgestelde doelstellingen beter op EU‑niveau worden bereikt dan door afzonderlijke lidstaten. De EU kan derhalve maatregelen treffen overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel. Overeenkomstig het evenredigheidsbeginsel gaat de voorgestelde richtlijn niet verder dan wat nodig is om de doelstellingen te verwezenlijken.
Om de doelstellingen te halen, dient de Commissie te worden gemachtigd om overeenkomstig artikel 290 VWEU gedelegeerde handelingen vast te stellen ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van het basisbesluit. Het voorstel van de Commissie streeft ook naar evenredigheid bij de tenuitvoerlegging van de verplichtingen waaraan particuliere en openbare exploitanten zich moeten houden.
Om uniforme voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moet de Commissie ertoe worden gemachtigd uitvoeringshandelingen vast te stellen overeenkomstig artikel 291 VWEU.
Met name gezien de brede werkingssfeer van de voorgestelde richtlijn, gezien het feit dat deze richtlijn strikt gereglementeerde gebieden bestrijkt en gezien de uit hoofdstuk IV van deze richtlijn voortvloeiende wettelijke verplichtingen, moet de kennisgeving van de omzettingsmaatregelen vergezeld gaan van toelichtende stukken. Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie over toelichtende stukken van 28 september 2011 hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van dergelijke stukken gerechtvaardigd.
Zowel de samenwerking als de uitwisseling van informatie tussen de lidstaten moet worden ondersteund door een beveiligde infrastructuur. Dit voorstel zal slechts gevolgen voor de begroting hebben indien de lidstaten opteren voor de aanpassing van een bestaande infrastructuur (zoals sTESTA) en zij de Commissie opdragen dit ten uitvoer te leggen binnen het meerjarig financieel kader voor de periode 2014‑2020. De eenmalige kosten worden geraamd op EUR 1 250 000 en zouden ten laste van de EU‑begroting komen, met name onder post 09 03 02 (de interconnectie en interoperabiliteit van online nationale openbare diensten bevorderen, alsook de toegang tot dergelijke netwerken — Hoofdstuk 09 03 Connecting Europe Facility — telecommunicatienetwerken), mits in het kader van de financieringsfaciliteit voor Europese verbindingen voldoende middelen beschikbaar zijn. Bij wijze van alternatief kunnen de lidstaten de eenmalige kosten van de aanpassing van bestaande infrastructuur delen of beslissen nieuwe infrastructuur op te zetten en de kosten daarvan (naar raming ca. EUR 10 miljoen per jaar) te dragen.