Artikelen bij COM(2020)829 - Veerkracht van kritieke entiteiten

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2020)829 - Veerkracht van kritieke entiteiten.
document COM(2020)829 NLEN
datum 16 december 2020



HOOFDSTUK I
Onderwerp, toepassingsgebied en definities

Inhoudsopgave

Artikel 1 - Onderwerp en toepassingsgebied

1. In deze richtlijn:

(a)worden de verplichtingen voor de lidstaten vastgesteld tot het nemen van bepaalde maatregelen om te waarborgen dat op de interne markt diensten worden verleend die essentieel zijn voor de instandhouding van vitale maatschappelijke functies of economische activiteiten, met name de verplichting om kritieke entiteiten en entiteiten die in bepaalde opzichten als daaraan gelijkwaardig moeten worden behandeld, te identificeren en deze in staat te stellen aan hun verplichtingen te voldoen;

(b)worden verplichtingen voor kritieke entiteiten vastgesteld die de veerkracht ervan moeten vergroten en hen beter in staat moeten stellen om deze diensten op de interne markt te verlenen;

(c)worden regels vastgesteld voor het toezicht op en handhavingsmaatregelen ten aanzien van kritieke entiteiten en voor specifiek toezicht op kritieke entiteiten die van bijzonder Europees belang worden geacht.

2. Deze richtlijn is niet van toepassing op aangelegenheden die vallen onder Richtlijn (EU) XX/YY [voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (“NIS 2-richtlijn”)], onverminderd artikel 7.

3. Wanneer bepalingen van sectorspecifieke handelingen van Unierecht vereisen dat kritieke entiteiten maatregelen nemen als bedoeld in hoofdstuk III, en wanneer die vereisten ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde verplichtingen, zijn de desbetreffende bepalingen van deze richtlijn, met inbegrip van de bepalingen inzake toezicht en handhaving van hoofdstuk VI, niet van toepassing.

4. Onverminderd artikel 346 VWEU wordt informatie die op grond van EU- en nationale regelgeving vertrouwelijk is, zoals voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie, uitsluitend met de Commissie en andere betrokken autoriteiten uitgewisseld wanneer dat noodzakelijk is voor de toepassing van deze richtlijn. Er wordt uitsluitend informatie uitgewisseld die relevant is voor en evenredig is met het doel van die uitwisseling. Bij de uitwisseling van informatie wordt de vertrouwelijkheid van die informatie gewaarborgd en worden de veiligheids- en commerciële belangen van kritieke entiteiten beschermd.

Artikel 2 - Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

(1) “kritieke entiteit”: een publieke of particuliere entiteit van een type als bedoeld in de bijlage, die overeenkomstig artikel 5 als zodanig door een lidstaat is geïdentificeerd;

(2) “veerkracht”: het vermogen om een incident dat het functioneren van een kritieke entiteit verstoort of kan verstoren, te voorkomen, weerstaan, beperken of op te vangen of zich aan een dergelijk incident aan te passen of daarvan te herstellen;

(3) “incident”: elke gebeurtenis die het functioneren van de kritieke entiteit kan verstoren of verstoort;

(4) “infrastructuur”: een voorziening of een systeem of onderdeel daarvan die/dat noodzakelijk is voor de verlening van een essentiële dienst;

(5) “essentiële dienst”: een dienst die van essentieel belang is voor de instandhouding van vitale maatschappelijke en/of economische activiteiten;

(6) “risico”: elke omstandigheid of gebeurtenis die een negatief effect kan hebben op de veerkracht van kritieke entiteiten;

(7) “risicobeoordeling”: een methode om de aard en omvang van een risico te bepalen door potentiële dreigingen en gevaren te analyseren en bestaande kwetsbare punten te evalueren die het functioneren van de kritieke entiteit zouden kunnen verstoren.

HOOFDSTUK II
Nationale kaders inzake de veerkracht van kritieke entiteiten

Artikel 3 - Strategie inzake de veerkracht van kritieke entiteiten

1. Elke lidstaat stelt uiterlijk [drie jaar na de inwerkingtreding van deze richtlijn] een strategie vast om de veerkracht van kritieke entiteiten te versterken. Deze strategie bevat strategische doelstellingen en beleidsmaatregelen ter verwezenlijking en handhaving van een hoog niveau van veerkracht van die kritieke entiteiten, welke ten minste de in de bijlage genoemde sectoren bestrijken.

2. De strategie bevat ten minste de volgende elementen:

(a)strategische doelstellingen en prioriteiten ter versterking van de algehele veerkracht van kritieke entiteiten met inachtneming van grensoverschrijdende en intersectorale onderlinge afhankelijkheden;

(b)een governancekader ter verwezenlijking van de strategische doelstellingen en prioriteiten, met inbegrip van een beschrijving van de taken en verantwoordelijkheden van de verschillende autoriteiten, kritieke entiteiten en andere partijen die bij de uitvoering van de strategie betrokken zijn;

(c)een beschrijving van de maatregelen die nodig zijn om de algehele veerkracht van kritieke entiteiten te vergroten, met inbegrip van een nationale risicobeoordeling, de identificatie van kritieke entiteiten en entiteiten die daaraan gelijkwaardig zijn, en de overeenkomstig dit hoofdstuk genomen maatregelen ter ondersteuning van kritieke entiteiten;

(d)een beleidskader voor een betere coördinatie tussen de overeenkomstig artikel 8 van deze richtlijn en de overeenkomstig [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten met het oog op de uitwisseling van informatie over incidenten en cyberdreigingen en de uitoefening van toezichthoudende taken.

De strategie wordt wanneer dat nodig is en ten minste om de vier jaar geactualiseerd.

3. De lidstaten delen hun strategieën en eventuele actualiseringen daarvan binnen drie maanden na de vaststelling ervan aan de Commissie mee.

Artikel 4 - Risicobeoordeling door de lidstaten

1. De overeenkomstig artikel 8 aangewezen bevoegde autoriteiten stellen een lijst op van essentiële diensten in de in de bijlage genoemde sectoren. Zij voeren uiterlijk [drie jaar na de inwerkingtreding van deze richtlijn] en vervolgens wanneer dat nodig is en ten minste om de vier jaar, een beoordeling uit van alle relevante risico’s die van invloed kunnen zijn op de verlening van die essentiële diensten, met het oog op de identificatie van kritieke entiteiten overeenkomstig artikel 5, lid 1, en het bijstaan van die kritieke entiteiten bij het nemen van maatregelen uit hoofde van artikel 11.

In de risicobeoordeling wordt rekening gehouden met alle relevante natuurlijke en door de mens veroorzaakte risico’s, met inbegrip van ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid en antagonistische dreigingen, waaronder terroristische misdrijven als bedoeld in Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad 34 .

2. Bij de uitvoering van de risicobeoordeling houden de lidstaten ten minste rekening met:

(a)de algemene risicobeoordeling die is uitgevoerd overeenkomstig artikel 6, lid 1, van Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad 35 ;

(b)andere relevante risicobeoordelingen die zijn uitgevoerd overeenkomstig de voorschriften van de relevante sectorspecifieke handelingen van Unierecht, waaronder Verordening (EU) 2019/941 van het Europees Parlement 36 en de Raad en Verordening (EU) 2017/1938 van het Europees Parlement en de Raad 37 ;

(c)alle risico’s die voortvloeien uit de afhankelijkheid tussen de in de bijlage genoemde sectoren, ook waar het andere lidstaten en derde landen betreft, en de gevolgen die een verstoring in één sector kan hebben voor andere sectoren;

(d)alle informatie over incidenten waarvan overeenkomstig artikel 13 is kennisgegeven.

Voor de toepassing van de eerste alinea, punt c), werken de lidstaten samen met de bevoegde autoriteiten van andere lidstaten en derde landen, naargelang het geval.

3. De lidstaten stellen de relevante elementen van de in lid 1 bedoelde risicobeoordeling ter beschikking aan de kritieke entiteiten die zij overeenkomstig artikel 5 hebben geïdentificeerd, teneinde die kritieke entiteiten bij te staan bij het verrichten van hun risicobeoordeling overeenkomstig artikel 10 en bij het nemen van maatregelen om hun veerkracht te waarborgen overeenkomstig artikel 11.

4. Elke lidstaat verstrekt de Commissie uiterlijk op [drie jaar na de inwerkingtreding van deze richtlijn] en vervolgens wanneer dat nodig is en ten minste om de vier jaar, gegevens over de soorten geïdentificeerde risico’s en de resultaten van de risicobeoordelingen, per sector en deelsector als vermeld in de bijlage.

5. De Commissie kan, in samenwerking met de lidstaten, een vrijwillig gemeenschappelijk rapportagemodel ontwikkelen waarmee aan lid 4 kan worden voldaan.

Artikel 5 - Identificatie van kritieke entiteiten

1. Uiterlijk op [drie jaar en drie maanden na de inwerkingtreding van deze richtlijn] identificeren de lidstaten de kritieke entiteiten voor elke sector en deelsector die wordt genoemd in de bijlage, met uitzondering van de punten 3, 4 en 8 daarvan.

2. Bij de identificatie van kritieke entiteiten overeenkomstig lid 1 houden de lidstaten rekening met de resultaten van de risicobeoordeling uit hoofde van artikel 4 en passen zij de volgende criteria toe:

(a)de entiteit verleent een of meer essentiële diensten;

(b)(de verlening van die diensten is afhankelijk van infrastructuur die zich in de lidstaat bevindt; en

(c)een incident zou aanzienlijke verstorende effecten hebben op de verlening van de dienst of andere, van de dienst afhankelijke essentiële diensten in de in de bijlage genoemde sectoren.

3. Elke lidstaat stelt een lijst op van de geïdentificeerde kritieke entiteiten en zorgt ervoor dat die kritieke entiteiten binnen een maand na die identificatie in kennis worden gesteld van hun identificatie als kritieke entiteit, waarbij zij worden geïnformeerd over hun verplichtingen uit hoofde van de hoofdstukken II en III en over de datum met ingang waarvan de bepalingen van die hoofdstukken op hen van toepassing zijn.

Voor de betrokken kritieke entiteiten gelden de bepalingen van dit hoofdstuk met ingang van de datum van kennisgeving en de bepalingen van hoofdstuk III na verloop van zes maanden na die datum.

4. De lidstaten zorgen ervoor dat hun overeenkomstig artikel 8 van deze richtlijn aangewezen bevoegde autoriteiten de bevoegde autoriteiten die de lidstaten overeenkomstig artikel 8 van [de NIS 2-richtlijn] hebben aangewezen, binnen een maand na de identificatie meedelen welke kritieke entiteiten zij op grond van dit artikel hebben geïdentificeerd.

5. De lidstaten zorgen ervoor dat kritieke entiteiten na de in lid 3 bedoelde kennisgeving hun overeenkomstig artikel 8 van deze richtlijn aangewezen bevoegde autoriteiten erover informeren dat zij in een of meer andere lidstaten als kritieke entiteit zijn geïdentificeerd. Wanneer twee of meer lidstaten een entiteit als kritiek hebben geïdentificeerd, plegen deze lidstaten overleg met elkaar om de last voor de kritieke entiteit met betrekking tot de verplichtingen uit hoofde van hoofdstuk III te verminderen.

6. Voor de toepassing van hoofdstuk IV zorgen de lidstaten ervoor dat kritieke entiteiten na de in lid 3 bedoelde kennisgeving aan hun overeenkomstig artikel 8 van deze richtlijn aangewezen bevoegde autoriteiten informatie verstrekken over de vraag of zij essentiële diensten verlenen aan of in meer dan een derde van de lidstaten. Wanneer dat het geval is, stelt de betrokken lidstaat de Commissie onverwijld in kennis van de identiteit van die kritieke entiteiten.

7. Wanneer dat nodig is en in ieder geval om de vier jaar, evalueren de lidstaten de lijst van geïdentificeerde kritieke entiteiten en actualiseren zij deze in voorkomend geval.

Indien deze actualiseringen leiden tot de identificatie van meer kritieke entiteiten, zijn de leden 3, 4, 5 en 6 van toepassing. Daarnaast zorgen de lidstaten ervoor dat entiteiten die op grond van een dergelijke actualisering niet langer als kritiek worden geïdentificeerd, daarvan in kennis worden gesteld evenals van het feit dat zij na de ontvangst van die informatie niet langer onderworpen zijn aan de verplichtingen uit hoofde van hoofdstuk III.

Artikel 6 - Aanzienlijk verstorend effect

1. Bij het bepalen of een verstorend effect aanzienlijk is, als bedoeld in artikel 5, lid 2, punt c), houden de lidstaten rekening met de volgende criteria:

(a)het aantal gebruikers dat afhankelijk is van de door de entiteit verleende dienst;

(b)de mate waarin andere in de bijlage genoemde sectoren afhankelijk zijn van die dienst;

(c)de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu en de openbare veiligheid;

(d)het marktaandeel van de entiteit op de markt voor dergelijke diensten;

(e)het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen;

(f)het belang van de entiteit voor de instandhouding van een toereikend dienstverleningsniveau, rekening houdend met de beschikbare alternatieven voor het verlenen van die dienst.

2. De lidstaten verstrekken de Commissie uiterlijk [drie jaar en drie maanden na de inwerkingtreding van deze richtlijn] de volgende informatie:

(a)de in artikel 4, lid 1, bedoelde lijst van diensten;

(b)het aantal kritieke entiteiten dat is geïdentificeerd voor elke in de bijlage bedoelde sector en deelsector en de in artikel 4, lid 1, bedoelde dienst of diensten die elke entiteit verleent;

(c)eventuele drempels die worden toegepast om een of meer van de in lid 1 genoemde criteria te specificeren.

Zij verstrekken die informatie wanneer dat nodig is en ten minste om de vier jaar.

3. De Commissie kan, na raadpleging van de Groep voor de veerkracht van kritieke entiteiten, richtsnoeren vaststellen om de toepassing van de in lid 1 bedoelde criteria te vergemakkelijken, rekening houdend met de in lid 2 bedoelde informatie.

Artikel 7 - Entiteiten die voor de toepassing van dit hoofdstuk gelijkwaardig zijn aan kritieke entiteiten

1. Met betrekking tot de in de punten 3, 4 en 8 van de bijlage genoemde sectoren identificeren de lidstaten uiterlijk op [drie jaar en drie maanden na de inwerkingtreding van deze richtlijn] de entiteiten die voor de toepassing van dit hoofdstuk als gelijkwaardig aan kritieke entiteiten worden behandeld. Zij passen ten aanzien van deze entiteiten de bepalingen van de artikelen 3 en 4, artikel 5, leden 1 tot en met 4 en lid 7, en artikel 9 toe.

2. Met betrekking tot de overeenkomstig lid 1 geïdentificeerde entiteiten in de in de punten 3 en 4 van de bijlage genoemde sectoren zorgen de lidstaten ervoor dat voor de toepassing van artikel 8, lid 1, de als bevoegde autoriteiten aangewezen autoriteiten de overeenkomstig artikel 41 van [DORA-verordening] aangewezen bevoegde autoriteiten zijn.

3. De lidstaten zorgen ervoor dat de in lid 1 bedoelde entiteiten onverwijld in kennis worden gesteld van hun identificatie als in dit artikel bedoelde entiteit.

Artikel 8 - Bevoegde autoriteiten en centraal contactpunt

1. Elke lidstaat wijst een of meer bevoegde autoriteiten aan die verantwoordelijk zijn voor de correcte toepassing en, waar nodig, handhaving van de voorschriften van deze richtlijn op nationaal niveau (“bevoegde autoriteit”). De lidstaten kunnen een of meer bestaande autoriteiten aanwijzen.

Wanneer zij meer dan één autoriteit aanwijzen, stellen zij de respectieve taken van de betrokken autoriteiten duidelijk vast en zorgen zij ervoor dat zij doeltreffend samenwerken bij de vervulling van hun taken uit hoofde van deze richtlijn, onder meer met betrekking tot de aanwijzing en de activiteiten van het in lid 2 bedoelde centraal contactpunt.

2. Elke lidstaat wijst binnen de bevoegde autoriteit een centraal contactpunt aan dat een verbindingsfunctie vervult bij grensoverschrijdende samenwerking met de bevoegde autoriteiten van andere lidstaten en met de in artikel 16 bedoelde Groep voor de veerkracht van kritieke entiteiten (“centraal contactpunt”).

3. Uiterlijk op [drie jaar en zes maanden na de inwerkingtreding van deze richtlijn] en vervolgens elk jaar dienen de centrale contactpunten bij de Commissie en de Groep voor de veerkracht van kritieke entiteiten een samenvattend verslag in over de ontvangen kennisgevingen, met vermelding van het aantal daarvan, de aard van de gemelde incidenten en de overeenkomstig artikel 13, lid 3, genomen maatregelen.

4. Elke lidstaat zorgt ervoor dat de bevoegde autoriteit, met inbegrip van het daarbinnen aangewezen centraal contactpunt, over de bevoegdheden en toereikende financiële, personele en technische middelen beschikt om de haar toegewezen taken op doeltreffende en efficiënte wijze uit te voeren.

5. De lidstaten zorgen ervoor dat hun bevoegde autoriteiten, waar passend en in overeenstemming met het Unierecht en het nationale recht, overleggen en samenwerken met andere relevante nationale autoriteiten, en met name met de autoriteiten die belast zijn met civiele bescherming, rechtshandhaving en de bescherming van persoonsgegevens, alsook met relevante belanghebbende partijen, waaronder kritieke entiteiten.

6. De lidstaten zorgen ervoor dat hun overeenkomstig dit artikel aangewezen bevoegde autoriteiten met de krachtens [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten samenwerken op het gebied van cyberbeveiligingsrisico’s en cyberincidenten die negatieve gevolgen hebben voor kritieke entiteiten, alsook op het gebied van de voor kritieke entiteiten relevante maatregelen die de krachtens [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten hebben genomen.

7. Elke lidstaat stelt de Commissie binnen drie maanden na de aanwijzing van de bevoegde autoriteit en het centraal contactpunt in kennis van die aanwijzing alsook van hun precieze taken en verantwoordelijkheden uit hoofde van deze richtlijn, hun contactgegevens en eventuele latere wijzigingen daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteit en het centraal contactpunt openbaar.

8. De Commissie maakt een lijst van de centrale contactpunten van de lidstaten bekend.

Artikel 9 - Ondersteuning van kritieke entiteiten door de lidstaten

1. De lidstaten ondersteunen kritieke entiteiten bij het vergroten van hun veerkracht. Die ondersteuning kan onder meer bestaan in het ontwikkelen van richtsnoeren en methodologieën, hulp bij de organisatie van oefeningen om de veerkracht van de kritieke entiteiten te testen en het verstrekken van opleiding aan personeel van kritieke entiteiten.

2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten met kritieke entiteiten uit de in de bijlage genoemde sectoren samenwerken en informatie en goede praktijken uitwisselen.

3. De lidstaten stellen instrumenten voor de uitwisseling van informatie vast ter ondersteuning van de vrijwillige uitwisseling van informatie tussen kritieke entiteiten over aangelegenheden die onder deze richtlijn vallen, overeenkomstig het Unierecht en het nationale recht inzake, met name, mededinging en bescherming van persoonsgegevens.


Hoofdstuk III
Veerkracht van kritieke entiteiten

Artikel 10 - Risicobeoordeling door kritieke entiteiten

De lidstaten zorgen ervoor dat kritieke entiteiten binnen zes maanden na ontvangst van de in artikel 5, lid 3, bedoelde kennisgeving en vervolgens wanneer dat nodig is en ten minste om de vier jaar, op basis van de risicobeoordelingen van de lidstaten en andere relevante informatiebronnen, alle relevante risico’s beoordelen die hun activiteiten kunnen verstoren.

Bij de risicobeoordeling worden alle in artikel 4, lid 1, bedoelde relevante risico’s in aanmerking genomen die de verlening van essentiële diensten zouden kunnen verstoren. Daarbij wordt in aanmerking genomen of andere in de bijlage genoemde sectoren afhankelijk zijn van de door de kritieke entiteit verleende essentiële dienst, in voorkomend geval ook in naburige lidstaten en derde landen, en rekening gehouden met de gevolgen die een verstoring van de verlening van essentiële diensten in een of meer van die sectoren kan hebben voor de door de kritieke entiteit verleende essentiële dienst.

Artikel 11 - Veerkrachtmaatregelen van kritieke entiteiten

1. De lidstaten zorgen ervoor dat kritieke entiteiten passende en evenredige technische en organisatorische maatregelen nemen om hun veerkracht te waarborgen, met inbegrip van maatregelen die nodig zijn om:

(a)te voorkomen dat zich incidenten voordoen, onder meer door maatregelen ter beperking van het risico op rampen en maatregelen voor aanpassing aan de klimaatverandering;

(b)te zorgen voor adequate fysieke bescherming van kwetsbare gebieden, faciliteiten en andere infrastructuur, onder meer door middel van omheiningen, barrières, instrumenten en routines voor bewaking van de omgeving, alsmede detectieapparatuur en toegangscontroles;

(c)de gevolgen van incidenten te weerstaan en te beperken, onder meer door de uitvoering van risico- en crisisbeheersingsprocedures en -protocollen en waarschuwingsroutines;

(d)te herstellen van incidenten, onder meer door bedrijfscontinuïteitsmaatregelen en de identificatie van alternatieve toeleveringsketens;

(e)te zorgen voor adequaat beheer van personeelsbeveiliging, onder meer door het vaststellen van categorieën personeel dat kritieke functies uitoefent, het vaststellen van het recht van toegang tot gevoelige plaatsen, faciliteiten en andere infrastructuur, alsook tot gevoelige informatie, en het vaststellen van specifieke personeelscategorieën voor de toepassing van artikel 12;

(f)het relevante personeel bewust te maken van de in punt a) tot en met e) bedoelde maatregelen.

2. De lidstaten zorgen ervoor dat kritieke entiteiten beschikken over een plan inzake veerkracht of een gelijkwaardig document of gelijkwaardige documenten, waarin de maatregelen uit hoofde van lid 1 in detail worden beschreven, en tot de toepassing daarvan overgaan. Wanneer kritieke entiteiten maatregelen hebben genomen ingevolge verplichtingen uit hoofde van andere handelingen van Unierecht die ook relevant zijn voor de in lid 1 bedoelde maatregelen, beschrijven zij die maatregelen eveneens in het plan inzake veerkracht of een gelijkwaardig document of gelijkwaardige documenten.

3. Op verzoek van de lidstaat die de kritieke entiteit heeft geïdentificeerd en met instemming van de betrokken kritieke entiteit organiseert de Commissie overeenkomstig de regelingen die zijn vermeld in artikel 15, leden 4, 5, 7 en 8, adviesmissies die de betrokken kritieke entiteit adviseren over de nakoming van haar verplichtingen krachtens hoofdstuk III. De adviesmissie brengt verslag uit over haar bevindingen aan de Commissie, die lidstaat en de betrokken kritieke entiteit.

4. De Commissie is bevoegd overeenkomstig artikel 21 gedelegeerde handelingen vast te stellen ter aanvulling van lid 1, door gedetailleerde voorschriften vast te stellen waarin sommige of alle op grond van dat lid te nemen maatregelen worden gespecificeerd. Zij stelt die gedelegeerde handelingen vast voor zover dat nodig is voor de doeltreffende en consistente toepassing van dat lid overeenkomstig de doelstellingen van deze richtlijn, rekening houdend met eventuele relevante ontwikkelingen op het gebied van risico’s, technologie of de verlening van de betrokken diensten, alsook met eventuele specifieke kenmerken in verband met bepaalde sectoren en soorten entiteiten.

5. De Commissie stelt uitvoeringshandelingen vast om de nodige technische en methodologische specificaties vast te stellen met betrekking tot de toepassing van de in lid 1 bedoelde maatregelen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 20, lid 2, bedoelde onderzoeksprocedure.

Artikel 12 - Antecedentenonderzoeken

1. De lidstaten zorgen ervoor dat kritieke entiteiten verzoeken kunnen indienen om een onderzoek van de antecedenten van personen die tot bepaalde specifieke categorieën van hun personeel behoren, met inbegrip van personen die in aanmerking komen voor aanwerving voor functies die binnen die categorieën vallen, en dat die verzoeken snel worden beoordeeld door de autoriteiten die bevoegd zijn om dergelijke antecedentenonderzoeken uit te voeren.

2. Overeenkomstig het toepasselijke Unierecht en nationale recht, waaronder Verordening (EU) 2016/679 van het Europees Parlement en de Raad  38 , moet een antecedentenonderzoek als bedoeld in lid 1:

(a)de identiteit van de persoon vaststellen op basis van schriftelijke bewijsstukken;

(b)zich uitstrekken tot alle gegevens uit de strafregisters van ten minste de laatste vijf en maximaal de laatste tien jaar, inzake strafbare feiten die relevant zijn voor de aanwerving in een bepaalde functie, in de lidstaat of lidstaten waarvan de betrokkene de nationaliteit heeft, en in de lidstaten of derde landen van verblijf gedurende die periode;

(c)zich uitstrekken tot het arbeidsverleden, het onderwijstraject en eventuele lacunes in het onderwijstraject of het arbeidsverleden in het curriculum vitae van de betrokkene van ten minste de laatste vijf en maximaal de laatste tien jaar.

Wat betreft punt b) van de eerste alinea zorgen de lidstaten ervoor dat hun autoriteiten die bevoegd zijn om antecedentenonderzoek uit te voeren, via Ecris de gegevens uit de strafregisters van andere lidstaten verkrijgen overeenkomstig de procedures van Kaderbesluit 2009/315/JBZ van de Raad en, in voorkomend geval, Verordening (EU) 2019/816 van het Europees Parlement en de Raad 39 . De in artikel 3 van dat kaderbesluit en in artikel 3, lid 5, van die verordening bedoelde centrale autoriteiten beantwoorden verzoeken om dergelijke gegevens binnen 10 werkdagen na de datum van ontvangst van het verzoek.

3. Overeenkomstig het toepasselijke Unierecht, met inbegrip van Verordening (EU) 2016/679, en het toepasselijke nationale recht zorgt elke lidstaat ervoor dat een antecedentenonderzoek als bedoeld in lid 1 ook kan worden uitgebreid, op basis van een naar behoren gemotiveerd verzoek van de kritieke entiteit, teneinde gebruik te maken van inlichtingen en andere beschikbare objectieve gegevens die nodig kunnen zijn om te bepalen of de betrokken persoon geschikt is om te werken in de functie in verband waarmee de kritieke entiteit om een uitgebreider antecedentenonderzoek heeft verzocht.

Artikel 13 - Kennisgeving van incidenten

1. De lidstaten zorgen ervoor dat kritieke entiteiten de bevoegde autoriteit onverwijld in kennis stellen van incidenten die hun activiteiten aanzienlijk verstoren of kunnen verstoren. Die kennisgevingen bevatten alle beschikbare informatie die nodig is om de bevoegde autoriteit in staat te stellen de aard, de oorzaak en de mogelijke gevolgen van het incident te begrijpen, onder meer teneinde eventuele grensoverschrijdende gevolgen van het incident vast te kunnen stellen. Een dergelijke kennisgeving leidt voor de kritieke entiteiten niet tot een verhoogde aansprakelijkheid.

2. Om de aanzienlijkheid van de verstoring of mogelijke verstoring van de activiteiten van de kritieke entiteit als gevolg van een incident te bepalen, wordt met name rekening gehouden met de volgende criteria:

(a)het aantal gebruikers dat door de verstoring of mogelijke verstoring wordt getroffen;

(b)de duur van de verstoring of de verwachte duur van een mogelijke verstoring;

(c)het geografische gebied dat door de verstoring of mogelijke verstoring wordt getroffen.

3. Op basis van de informatie die in de kennisgeving door de kritieke entiteit wordt verstrekt, informeert de bevoegde autoriteit, via haar centraal contactpunt, het centraal contactpunt van andere getroffen lidstaten indien het incident aanzienlijke gevolgen heeft of kan hebben voor kritieke entiteiten en voor de continuïteit van de verlening van essentiële diensten in een of meer andere lidstaten.

Daarbij behandelen de centrale contactpunten, overeenkomstig het Unierecht of nationale wetgeving die in overeenstemming is met het Unierecht, de informatie op een wijze die de vertrouwelijkheid ervan eerbiedigt en de veiligheid en commerciële belangen van de betrokken kritieke entiteit beschermt.  

4. Zodra zij overeenkomstig lid 1 in kennis is gesteld, verstrekt de bevoegde autoriteit de kritieke entiteit die haar in kennis heeft gesteld zo spoedig mogelijk relevante informatie over de follow-up van haar kennisgeving, met inbegrip van informatie die de doeltreffende reactie van de kritieke entiteit op het incident zou kunnen ondersteunen.


Hoofdstuk IV
Specifiek toezicht op kritieke entiteiten van bijzonder Europees belang

Artikel 14 - Kritieke entiteiten van bijzonder Europees belang

1. Kritieke entiteiten van bijzonder Europees belang worden onderworpen aan specifiek toezicht, overeenkomstig dit hoofdstuk.

2. Een entiteit wordt als een kritieke entiteit van bijzonder Europees belang beschouwd wanneer zij als een kritieke entiteit is geïdentificeerd en essentiële diensten verleent aan of in meer dan een derde van de lidstaten en daarvan aan de Commissie kennis is gegeven overeenkomstig artikel 5, lid 1, respectievelijk lid 6.

3. Na ontvangst van de kennisgeving uit hoofde van artikel 5, lid 6, stelt de Commissie de betrokken entiteit er onverwijld van in kennis dat zij als een kritieke entiteit van bijzonder Europees belang wordt beschouwd, waarbij zij die entiteit op de hoogte stelt van haar verplichtingen uit hoofde van dit hoofdstuk en van de datum met ingang waarvan die verplichtingen voor haar gelden.

De bepalingen van dit hoofdstuk zijn vanaf de datum van ontvangst van die kennisgeving op de betrokken kritieke entiteit van bijzonder Europees belang van toepassing.

Artikel 15 - Specifiek toezicht

1. Op verzoek van een of meer lidstaten of van de Commissie stelt de lidstaat waar de infrastructuur van de kritieke entiteit van bijzonder Europees belang zich bevindt, samen met die entiteit, de Commissie en de Groep voor de veerkracht van kritieke entiteiten in kennis van het resultaat van de krachtens artikel 10 uitgevoerde risicobeoordeling en van de overeenkomstig artikel 11 genomen maatregelen.

Die lidstaat stelt de Commissie en de Groep voor de veerkracht van kritieke entiteiten ook onverwijld in kennis van eventuele toezichts- of handhavingsmaatregelen, zoals beoordelingen van naleving of gegeven opdrachten, die zijn bevoegde autoriteit overeenkomstig de artikelen 18 en 19 met betrekking tot die entiteit heeft genomen.

2. Op verzoek van een of meer lidstaten of op eigen initiatief, en in samenspraak met de lidstaat waar de infrastructuur van de kritieke entiteit van bijzonder Europees belang zich bevindt, organiseert de Commissie een adviesmissie om de maatregelen te beoordelen die die entiteit heeft genomen teneinde aan haar verplichtingen uit hoofde van hoofdstuk III te voldoen. Indien nodig kan de adviesmissie een beroep doen op specifieke deskundigheid op het gebied van rampenrisicobeheer via het Coördinatiecentrum voor respons in noodsituaties.

3. De adviesmissie brengt binnen drie maanden na afloop van haar werkzaamheden verslag uit aan de Commissie, de Groep voor de veerkracht van kritieke entiteiten en de betrokken kritieke entiteit van bijzonder Europees belang.

De Groep voor de veerkracht van kritieke entiteiten analyseert het verslag en adviseert de Commissie indien nodig over de vraag of de betrokken kritieke entiteit van bijzonder Europees belang haar verplichtingen uit hoofde van hoofdstuk III nakomt en, in voorkomend geval, over de maatregelen die zouden kunnen worden genomen om de veerkracht van die entiteit te verbeteren.

Op basis van dat advies deelt de Commissie aan de lidstaat waar de infrastructuur van die entiteit zich bevindt, aan de Groep voor de veerkracht van kritieke entiteiten en aan die entiteit mee of die entiteit naar haar mening haar verplichtingen uit hoofde van hoofdstuk III nakomt en, in voorkomend geval, welke maatregelen zouden kunnen worden genomen om de veerkracht van die entiteit te verbeteren.

Die lidstaat houdt terdege rekening met dit standpunt en verstrekt de Commissie en de Groep voor de veerkracht van kritieke entiteiten informatie over de eventuele maatregelen die hij naar aanleiding van de mededeling heeft genomen.

4. Elke adviesmissie bestaat uit deskundigen uit de lidstaten en vertegenwoordigers van de Commissie. De lidstaten kunnen kandidaten voorstellen voor deelname aan een adviesmissie. De Commissie selecteert en benoemt de leden van elke adviesmissie op basis van hun beroepsbekwaamheid en zorgt voor een geografisch evenwichtige vertegenwoordiging van de lidstaten. De Commissie draagt de kosten in verband met de deelname aan de adviesmissie.

De Commissie stelt het programma van een adviesmissie op, in overleg met de leden van de specifieke adviesmissie en in samenspraak met de lidstaat waar de infrastructuur van de betrokken kritieke entiteit of de betrokken kritieke entiteit van Europees belang zich bevindt.

5. De Commissie stelt een uitvoeringshandeling vast waarin de procedureregels voor de uitvoering van en verslagen over adviesmissies worden vastgelegd. Die uitvoeringshandeling wordt vastgesteld volgens de in artikel 20, lid 2, bedoelde onderzoeksprocedure.

6. De lidstaten zorgen ervoor dat de betrokken kritieke entiteit van bijzonder Europees belang de adviesmissie toegang verleent tot alle informatie, systemen en faciliteiten die betrekking hebben op de verlening van haar essentiële diensten en die de adviesmissie nodig heeft voor de uitvoering van haar taken.

7. De adviesmissie wordt uitgevoerd overeenkomstig het toepasselijke nationale recht van de lidstaat waar de desbetreffende infrastructuur zich bevindt.

8. Bij het organiseren van de adviesmissies houdt de Commissie rekening met de verslagen van eventuele inspecties die de Commissie uit hoofde van Verordening (EG) nr. 300/2008 en Verordening (EG) nr. 725/2004 heeft uitgevoerd en met de verslagen van de controles die de Commissie uit hoofde van Richtlijn 2005/65/EG heeft uitgevoerd ten aanzien van de kritieke entiteit of de kritieke entiteit van bijzonder Europees belang, naargelang het geval.


Hoofdstuk V
Samenwerking en verslaglegging

Artikel 16
Groep voor de veerkracht van kritieke entiteiten

1. Er wordt een Groep voor de veerkracht van kritieke entiteiten opgericht die met ingang van [zes maanden na de inwerkingtreding van deze richtlijn] operationeel is. Zij ondersteunt de Commissie en vergemakkelijkt de strategische samenwerking en de uitwisseling van informatie over aangelegenheden in verband met deze richtlijn.

2. De Groep voor de veerkracht van kritieke entiteiten bestaat uit vertegenwoordigers van de lidstaten en de Commissie. Indien dit voor de uitvoering van haar taken relevant is, kan de Groep voor de veerkracht van kritieke entiteiten vertegenwoordigers van belanghebbende partijen uitnodigen om aan haar werkzaamheden deel te nemen.

De vertegenwoordiger van de Commissie zit de Groep voor de veerkracht van kritieke entiteiten voor.

3. De Groep voor de veerkracht van kritieke entiteiten heeft de volgende taken:

(a)het ondersteunen van de Commissie bij de bijstand die deze de lidstaten biedt bij het versterken van hun capaciteit om de veerkracht van kritieke entiteiten te helpen waarborgen overeenkomstig deze richtlijn;

(b)het evalueren van de in artikel 3 bedoelde strategieën inzake de veerkracht van kritieke entiteiten en het vaststellen van beste praktijken met betrekking tot die strategieën;

(c)het faciliteren van de uitwisseling van beste praktijken met betrekking tot de identificatie van kritieke entiteiten door de lidstaten overeenkomstig artikel 5, onder meer met betrekking tot grensoverschrijdende afhankelijkheden en wat betreft risico’s en incidenten;

(d)het op verzoek bijdragen aan de opstelling van de in artikel 6, lid 3, bedoelde richtsnoeren en eventuele gedelegeerde handelingen en uitvoeringshandelingen uit hoofde van deze richtlijn;

(e)het jaarlijks bestuderen van de in artikel 8, lid 3, bedoelde samenvattende verslagen;

(f)het delen van praktijken inzake de uitwisseling van informatie met betrekking tot de kennisgeving inzake incidenten als bedoeld in artikel 13;

(g)het analyseren van en adviseren over de verslagen van adviesmissies overeenkomstig artikel 15, lid 3;

(h)het uitwisselen van informatie en delen van beste praktijken op het gebied van onderzoek en ontwikkeling met betrekking tot de veerkracht van kritieke entiteiten overeenkomstig deze richtlijn;

(i)het waar nodig uitwisselen van informatie op gebied van de veerkracht van kritieke entiteiten met de betrokken instellingen, organen en instanties van de Unie.

4. Uiterlijk op [24 maanden na de inwerkingtreding van deze richtlijn] en vervolgens om de twee jaar, stelt de Groep voor de veerkracht van kritieke entiteiten een werkprogramma op inzake te nemen maatregelen ter uitvoering van haar doelstellingen en taken, dat in overeenstemming moet zijn met de eisen en doelstellingen van deze richtlijn.

5. De Groep voor de veerkracht van kritieke entiteiten komt regelmatig en ten minste eenmaal per jaar met de bij [de NIS 2-richtlijn] ingestelde samenwerkingsgroep bijeen teneinde strategische samenwerking en de uitwisseling van informatie te bevorderen.

6. De Commissie kan uitvoeringshandelingen vaststellen waarin de procedurele regelingen worden vastgesteld die nodig zijn voor het functioneren van de Groep voor de veerkracht van kritieke entiteiten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 20, lid 2, bedoelde onderzoeksprocedure.

7. De Commissie verstrekt de Groep voor de veerkracht van kritieke entiteiten uiterlijk op [drie jaar en zes maanden na de inwerkingtreding van deze richtlijn] en vervolgens wanneer dat nodig is en ten minste om de vier jaar, een samenvattend verslag van de informatie die de lidstaten overeenkomstig artikel 3, lid 3, en artikel 4, lid 4, hebben verstrekt.

Artikel 17
Ondersteuning door de Commissie van bevoegde autoriteiten en kritieke entiteiten

1. De Commissie ondersteunt, waar passend, de lidstaten en kritieke entiteiten bij het nakomen van hun verplichtingen uit hoofde van deze richtlijn, met name door een overzicht op Unieniveau op te stellen van de grensoverschrijdende en intersectorale risico’s voor de verlening van essentiële diensten, de in artikel 11, lid 3, en artikel 15, lid 3, bedoelde adviesmissies te organiseren en de uitwisseling van informatie tussen deskundigen in de hele Unie te faciliteren.

2. De Commissie vult de in artikel 9 bedoelde activiteiten van de lidstaten aan door beste praktijken en methoden te ontwikkelen en door grensoverschrijdende opleidingsactiviteiten en oefeningen te ontwikkelen om de veerkracht van kritieke entiteiten te testen.


Hoofdstuk VI
TOEZICHT EN HANDHAVING

Artikel 18 - Uitvoering en handhaving

1. Om te beoordelen of de entiteiten die de lidstaten overeenkomstig artikel 5 als kritieke entiteiten hebben geïdentificeerd, voldoen aan de verplichtingen uit hoofde van deze richtlijn, zorgen de lidstaten ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikken om:

(a)inspecties ter plaatse te verrichten van de bedrijfsruimten die de kritieke entiteit gebruikt voor de verlening van haar essentiële diensten en op afstand toezicht uit te oefenen op de maatregelen van kritieke entiteiten uit hoofde van artikel 11;

(b)audits uit te voeren of te gelasten met betrekking tot die entiteiten.

2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikken om, indien nodig voor de uitvoering van hun taken uit hoofde van deze richtlijn, te eisen dat de entiteiten die zij overeenkomstig artikel 5 als kritieke entiteiten hebben geïdentificeerd, hun binnen een door die autoriteiten vastgestelde redelijke termijn:

(a)de informatie verstrekken die nodig is om te beoordelen of de maatregelen die deze hebben genomen om hun veerkracht te waarborgen, voldoen aan de vereisten van artikel 11;

(b)bewijs verstrekken van de effectieve uitvoering van die maatregelen, met inbegrip van de resultaten van een audit die op kosten van de desbetreffende entiteit is uitgevoerd door een onafhankelijke en gekwalificeerde auditor die door de entiteit is geselecteerd.

Wanneer zij die informatie eisen, vermelden de bevoegde autoriteiten het doel van de eis en specificeren zij welke informatie wordt verlangd.

3. Onverminderd de mogelijkheid om sancties op te leggen overeenkomstig artikel 19, kunnen de bevoegde autoriteiten, in aansluiting op de in lid 1 bedoelde toezichtmaatregelen of de beoordeling van de in lid 2 bedoelde informatie, de betrokken kritieke entiteiten opdragen de nodige en evenredige maatregelen te nemen om een eventueel vastgestelde inbreuk op deze richtlijn binnen een door die autoriteiten vastgestelde redelijke termijn te verhelpen en die autoriteiten informatie over de genomen maatregelen te verstrekken. Bij een dergelijke opdracht wordt met name rekening gehouden met de ernst van de inbreuk.

4. De lidstaten zorgen ervoor dat de in de leden 1, 2 en 3 bedoelde bevoegdheden alleen met passende waarborgen kunnen worden uitgeoefend. Met die waarborgen wordt met name verzekerd dat een dergelijke uitoefening op objectieve, transparante en evenredige wijze plaatsvindt en dat de rechten en rechtmatige belangen van de betrokken kritieke entiteiten naar behoren worden gegarandeerd, met inbegrip van hun recht om te worden gehoord, van verdediging en van een doeltreffende voorziening in rechte bij een onafhankelijke rechtbank.

5. De lidstaten zorgen ervoor dat een bevoegde autoriteit, bij het beoordelen van de naleving door een kritieke entiteit overeenkomstig dit artikel, de krachtens [de NIS 2-richtlijn] aangewezen bevoegde autoriteiten van de betrokken lidstaat daarvan in kennis stelt, en deze autoriteiten kan verzoeken om de cyberbeveiliging van een dergelijke entiteit te beoordelen en daartoe samen te werken en informatie uit te wisselen.

Artikel 19 - Sancties

De lidstaten stellen de voorschriften vast ten aanzien van de sancties die van toepassing zijn op overtredingen van de nationale bepalingen die zijn vastgesteld op grond van deze richtlijn en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie uiterlijk op [twee jaar na de datum van inwerkingtreding van deze richtlijn] in kennis van die bepalingen en delen haar onverwijld alle latere wijzigingen van die bepalingen mee.


HOOFDSTUK VII
SLOTBEPALINGEN

Artikel 20 - Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 21 - Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 11, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van de datum van inwerkingtreding van deze richtlijn of een andere door de medewetgevers vastgestelde datum.

3. Het Europees Parlement of de Raad kan de in artikel 11, lid 4 bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6. Een overeenkomstig artikel 11, lid 4, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 22 - Verslaglegging en evaluatie

De Commissie dient uiterlijk op [54 maanden na de inwerkingtreding van deze richtlijn] een verslag in bij het Europees Parlement en de Raad waarin wordt beoordeeld in welke mate de lidstaten de nodige maatregelen hebben genomen om aan deze richtlijn te voldoen.

De Commissie evalueert op gezette tijden de werking van deze richtlijn en brengt daarover verslag uit aan het Europees Parlement en de Raad. In het verslag worden met name de impact en de toegevoegde waarde van deze richtlijn met betrekking tot het waarborgen van de veerkracht van kritieke entiteiten beoordeeld en wordt nagegaan of het toepassingsgebied van de richtlijn moet worden uitgebreid tot andere sectoren of deelsectoren. Het eerste verslag wordt uiterlijk [zes jaar na de inwerkingtreding van deze richtlijn] ingediend en beoordeelt met name of het toepassingsgebied van de richtlijn moet worden uitgebreid tot de sector productie, verwerking en distributie van levensmiddelen.

Artikel 23 - Intrekking van Richtlijn 2008/114/EG

Richtlijn 2008/114/EG wordt ingetrokken met ingang van [datum van inwerkingtreding van deze richtlijn].

Artikel 24 - Omzetting

1. De lidstaten dienen uiterlijk op [18 maanden na de inwerkingtreding van deze richtlijn] de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die bepalingen onverwijld mede.

Zij passen die bepalingen toe vanaf [twee jaar na de inwerkingtreding van deze richtlijn + een dag].

Wanneer de lidstaten die bepalingen vaststellen, wordt in die bepalingen zelf of bij de officiële bekendmaking ervan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2. De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mede die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 25 - Inwerkingtreding

Deze richtlijn treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 26 - Adressaten

Deze richtlijn is gericht tot de lidstaten.