Overwegingen bij COM(2020)829 - Veerkracht van kritieke entiteiten

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

 
dossier COM(2020)829 - Veerkracht van kritieke entiteiten.
document COM(2020)829 NLEN
datum 16 december 2020
 
(1) Richtlijn 2008/114/EG van de Raad 17 voorziet in een procedure voor het aanwijzen van Europese kritieke infrastructuren in de sectoren energie en vervoer, waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben voor ten minste twee lidstaten. Die richtlijn was uitsluitend gericht op de bescherming van dergelijke infrastructuren. De in 2019 verrichte evaluatie van Richtlijn 2008/114/EG 18 wees echter uit dat door de steeds sterkere verwevenheid en grensoverschrijdende aard van activiteiten waarbij gebruik wordt gemaakt van de kritieke infrastructuur, beschermende maatregelen met betrekking tot louter individuele activa niet volstaan om alle verstoringen te voorkomen. Die aanpak moet dan ook worden verruild voor een die de veerkracht van kritieke entiteiten waarborgt, dat wil zeggen hun vermogen om incidenten die hun functioneren kunnen verstoren, te beperken of op te vangen dan wel zich aan die incidenten aan te passen of daarvan te herstellen.

(2) Ofschoon er op zowel het niveau van de Unie 19 als het nationaal niveau maatregelen van kracht zijn die ten doel hebben de bescherming van kritieke infrastructuren in de Unie te ondersteunen, zijn de entiteiten die deze infrastructuren exploiteren, niet voldoende toegerust om het hoofd te kunnen bieden aan bestaande en nieuwe operationele risico’s welke kunnen leiden tot de verstoring van diensten die van essentieel belang zijn voor het verrichten van vitale maatschappelijke functies of economische activiteiten. Dit is het gevolg van een dynamisch dreigingslandschap met een evoluerende terroristische dreiging en toenemende onderlinge afhankelijkheid tussen infrastructuren en sectoren, alsook van een toenemend fysiek risico wegens natuurrampen en klimaatverandering, waardoor zich vaker en op grotere schaal extreme weersomstandigheden zullen voordoen en het klimaatgemiddelde langetermijnveranderingen ondergaat die, als er geen maatregelen inzake veerkracht en klimaatverandering van kracht zijn, afbreuk kunnen doen aan de capaciteit en efficiëntie van bepaalde soorten infrastructuur. Bovendien worden relevante sectoren en soorten entiteiten niet altijd in alle lidstaten als kritiek erkend.

(3) Die toenemende onderlinge afhankelijkheid is het gevolg van een netwerk van in steeds sterkere mate grensoverschrijdende en onderling afhankelijke diensten waarvoor in de hele Unie wordt gebruikgemaakt van belangrijke infrastructuren in de sectoren energie, vervoer, bankwezen, financiële markt, digitale dienstverlening, drinkwater en afvalwater, volksgezondheid en bepaalde aspecten van openbaar bestuur, alsook ruimtevaart voor zover het gaat om de verlening van bepaalde diensten die afhankelijk zijn van grondinfrastructuren welke eigendom zijn van en beheerd en geëxploiteerd worden door lidstaten of particuliere partijen, en dus niet om diensten die afhankelijk zijn van infrastructuren welke eigendom zijn van en beheerd of geëxploiteerd worden door of namens de Unie in het kader van haar ruimtevaartprogramma’s. Deze onderlinge afhankelijkheden betekenen dat elke verstoring, ook als deze aanvankelijk beperkt is tot één entiteit of één sector, bredere cascade-effecten kan hebben, die in potentie verstrekkende en langdurige negatieve gevolgen kunnen hebben voor de verrichting van diensten op de interne markt. De COVID-19-pandemie heeft duidelijk gemaakt hoe kwetsbaar onze steeds meer onderling afhankelijke samenlevingen zijn voor onwaarschijnlijke risico’s.

(4) De entiteiten die betrokken zijn bij de verlening van essentiële diensten, moeten uit hoofde van de wetgeving van de lidstaten steeds vaker voldoen aan uiteenlopende eisen. Het feit dat de veiligheidsvoorschriften voor deze entiteiten in sommige lidstaten minder streng zijn, kan niet alleen negatieve gevolgen hebben voor de instandhouding van vitale maatschappelijke functies of economische activiteiten in de hele Unie, maar veroorzaakt ook belemmeringen voor de goede werking van de interne markt. Vergelijkbare soorten entiteiten worden door sommige lidstaten wel en door andere niet als kritiek beschouwd, terwijl voor de entiteiten die wel als kritiek worden aangemerkt, in verschillende lidstaten uiteenlopende voorschriften gelden. Dit leidt tot extra en onnodige administratieve lasten voor bedrijven die grensoverschrijdend opereren, met name als zij actief zijn in lidstaten met strengere voorschriften.

(5) Het is dan ook nodig geharmoniseerde minimumvoorschriften vast te stellen om de verlening van essentiële diensten op de interne markt te waarborgen en de veerkracht van kritieke entiteiten te versterken.

(6) Daartoe moeten de lidstaten vaststellen welke kritieke entiteiten aan specifieke voorschriften en toezicht moeten worden onderworpen, maar ook moeten voorzien in bijzondere ondersteuning en begeleiding om te zorgen voor een hoog niveau van veerkracht ten aanzien van alle relevante risico’s.

(7) Bepaalde economische sectoren zoals energie en vervoer zijn reeds gereguleerd of zouden in de toekomst kunnen worden gereguleerd door middel van sectorspecifieke handelingen van Unierecht met regels inzake een aantal aspecten van de veerkracht van entiteiten die in die sectoren actief zijn. Om op een brede manier de veerkracht te bevorderen van de entiteiten die van kritiek belang zijn voor de goede werking van de interne markt, moeten die sectorspecifieke maatregelen worden aangevuld door de maatregelen waarin is voorzien bij deze richtlijn, die een overkoepelend kader creëert betreffende de veerkracht van kritieke entiteiten ten aanzien van alle gevaren, d.w.z. zowel natuurrampen als rampen die – accidenteel of opzettelijk – door de mens worden veroorzaakt.

(8) Gezien het belang van cyberbeveiliging voor de veerkracht van kritieke entiteiten, is, ook met het oog op consistentie, waar mogelijk een aanpak geboden die coherent is met deze richtlijn en met Richtlijn (EU) XX/YY van het Europees Parlement en de Raad 20 [voorstel voor een richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (hierna “NIS 2-richtlijn” genoemd)]. Gezien de hogere frequentie en bijzondere kenmerken van cyberrisico’s legt de NIS 2-richtlijn een grote groep entiteiten brede verplichtingen op om hun cyberbeveiliging te waarborgen. Aangezien cyberbeveiliging voldoende aan bod komt in de NIS 2-richtlijn, moeten de zaken die daarin worden behandeld, worden uitgesloten van het toepassingsgebied van deze richtlijn, onverminderd de bijzondere regeling voor entiteiten in de digitale-infrastructuursector.

(9) Wanneer bepalingen van andere handelingen van Unierecht kritieke entiteiten verplichten relevante risico’s te beoordelen, maatregelen te nemen om hun veerkracht te waarborgen of incidenten te melden, en wanneer die vereisten ten minste gelijkwaardig zijn aan de in deze richtlijn vastgestelde overeenkomende verplichtingen, mogen de desbetreffende bepalingen van deze richtlijn niet van toepassing zijn, teneinde onnodig werk en dubbele lasten te voorkomen. In dat geval moeten de relevante bepalingen van die andere handelingen van toepassing zijn. Wanneer de relevante bepalingen van deze richtlijn niet van toepassing zijn, mogen de bepalingen daarvan inzake toezicht en handhaving evenmin van toepassing zijn. De lidstaten moeten echter alle in de bijlage vermelde sectoren bestrijken in hun strategie ter versterking van de veerkracht van kritieke entiteiten, de risicobeoordeling en de ondersteunende maatregelen krachtens hoofdstuk II alsook in staat zijn vast te stellen welke kritieke entiteiten in die sectoren aan de toepasselijke voorwaarden voldoen, met inachtneming van de bijzondere regeling voor entiteiten in de sectoren bankwezen, financiëlemarktinfrastructuur en digitale infrastructuur.

(10) Om te zorgen voor een alomvattende aanpak van de veerkracht van kritieke entiteiten moet elke lidstaat over een strategie met doelstellingen en beleidsmaatregelen beschikken en deze uitvoeren Daartoe moeten de lidstaten ervoor zorgen dat hun cyberbeveiligingsstrategieën voorzien in een beleidskader voor versterkte coördinatie tussen de uit hoofde van deze richtlijn respectievelijk de NIS 2-richtlijn bevoegde autoriteiten in het kader van de uitwisseling van informatie over incidenten en cyberdreigingen en de uitoefening van toezichthoudende taken.

(11) De acties van de lidstaten om kritieke entiteiten te identificeren en hun veerkracht te helpen waarborgen, moet een risicogebaseerde aanpak volgen waarbij de inspanningen worden gericht op de entiteiten die het meest relevant zijn voor de uitvoering van vitale maatschappelijke functies of economische activiteiten. Voor zo’n gerichte aanpak moet elke lidstaat binnen een geharmoniseerd kader een beoordeling verrichten van alle relevante natuurlijke en door de mens veroorzaakte risico’s die negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten, waaronder ongevallen, natuurrampen, noodsituaties op het gebied van de volksgezondheid (zoals pandemieën) en antagonistische dreigingen, waaronder terroristische misdrijven. Bij het uitvoeren van die risicobeoordelingen moeten de lidstaten tevens rekening houden met andere algemene of sectorspecifieke risicobeoordelingen die krachtens andere handelingen van Unierecht zijn verricht, en moeten zij de onderlinge afhankelijkheid tussen sectoren in aanmerking nemen, ook waar het andere lidstaten en derde landen betreft.  De resultaten van de risicobeoordeling moeten zowel worden benut bij het identificeren van kritieke entiteiten als dergelijke entiteiten helpen te voldoen aan de eisen inzake veerkracht van deze richtlijn.

(12) Om te waarborgen dat die vereisten voor alle relevante entiteiten gelden en onderlinge verschillen in dat opzicht te beperken, is het van belang om geharmoniseerde regels vast te stellen op basis waarvan kritieke entiteiten in de hele Unie op consistente wijze kunnen worden geïdentificeerd, maar die de lidstaten ook vrij laten om met nationale bijzonderheden rekening te houden. Derhalve moeten er criteria worden vastgesteld voor het identificeren van kritieke entiteiten. Omwille van de doeltreffendheid, doelmatigheid, consistentie en rechtszekerheid moeten er ook passende regels worden vastgesteld inzake kennisgeving en samenwerking in verband met een dergelijke identificatie en inzake de rechtsgevolgen daarvan. Om de Commissie in staat te stellen te beoordelen of deze richtlijn correct wordt toegepast, moeten de lidstaten de Commissie relevante informatie verstrekken; deze moet zo gedetailleerd en specifiek mogelijk zijn en in elk geval de lijst van essentiële diensten, het aantal kritieke entiteiten dat voor elke in de bijlage vermelde sector en deelsector is geïdentificeerd, de essentiële dienst of diensten die elke entiteit verleent en de toegepaste drempels omvatten.

(13) Ook moeten er criteria worden vastgesteld aan de hand waarvan kan worden bepaald hoe ernstig het verstorend effect van dergelijke incidenten is. Die criteria moeten voortbouwen op de criteria van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad 21 teneinde zowel de inspanningen van de lidstaten om die exploitanten te identificeren alsook de daarbij opgedane ervaring te benutten.

(14) Entiteiten die deel uitmaken van de sector digitale infrastructuur zijn in wezen gebaseerd op netwerk- en informatiesystemen en vallen onder de NIS 2-richtlijn, die de fysieke beveiliging van dergelijke systemen regelt in het kader van de verplichtingen die deze hebben inzake risicobeheer en -rapportage met betrekking tot cyberbeveiliging. Daar deze aangelegenheden onder de NIS 2-richtlijn vallen, zijn de verplichtingen van deze richtlijn op dergelijke entiteiten niet van toepassing. Aangezien de diensten die door entiteiten in de sector digitale infrastructuur worden verleend, van belang zijn voor de verlening van andere essentiële diensten, moeten de lidstaten aan de hand van de criteria en procedure van deze richtlijn, mutatis mutandis, entiteiten in de sector digitale infrastructuur identificeren die enkel voor de toepassing van hoofdstuk II, met inbegrip van de bepaling inzake de ondersteuning van de lidstaten bij het versterken van de veerkracht van deze entiteiten, als gelijkwaardig aan kritieke entiteiten moeten worden behandeld. De verplichtingen van de hoofdstukken III tot en met VI mogen dan ook niet voor dergelijke entiteiten gelden. Aangezien de in hoofdstuk II vervatte verplichtingen voor kritieke entiteiten om bepaalde informatie aan de bevoegde autoriteiten te verstrekken, betrekking hebben op de toepassing van de hoofdstukken III en IV, mogen die verplichtingen voor dergelijke entiteiten evenmin gelden.

(15) Het EU-acquis op het gebied van financiële diensten legt financiële entiteiten vergaande verplichtingen op om alle risico’s waarmee zij te maken krijgen, waaronder operationele risico’s, te beheren en de bedrijfscontinuïteit te waarborgen. Het gaat onder meer om Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad 22 , Richtlijn 2014/65/EU van het Europees Parlement en de Raad 23 , Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad 24 , Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad 25 en Richtlijn 2013/36/EU van het Europees Parlement en de Raad 26 . De Commissie heeft onlangs voorgesteld dit kader aan te vullen met Verordening XX/YYYY van het Europees Parlement en de Raad [voorstel voor een verordening betreffende digitale operationele veerkracht van de financiële sector (hierna “de DORA-verordening” genoemd) 27 ], waarbij financiële ondernemingen worden verplicht ICT-risico’s te beheren en onder meer fysieke ICT-infrastructuren te beschermen. Aangezien de veerkracht van de in de punten 3 en 4 van de bijlage vermelde entiteiten volledig onder het EU-acquis inzake financiële diensten valt, moeten ook die entiteiten uitsluitend voor de toepassing van hoofdstuk II van deze richtlijn als gelijkwaardig aan kritieke entiteiten worden behandeld. Om te waarborgen dat de regels inzake operationele risico’s en digitale veerkracht in de financiële sector consistent worden toegepast, moet de ondersteuning door de lidstaten bij de versterking van de algehele veerkracht van financiële entiteiten die gelijkwaardig zijn aan kritieke entiteiten, worden gewaarborgd door de krachtens artikel 41 van [DORA-verordening] aangewezen autoriteiten, zulks met inachtneming van de in die wetgeving vervatte procedures en op volledig geharmoniseerde wijze.

(16) De lidstaten moeten autoriteiten aanwijzen die gemachtigd zijn om toezicht te houden op de toepassing van de regels van deze richtlijn en om die regels zo nodig te handhaven, alsmede ervoor zorgen dat die autoriteiten over passende bevoegdheden en middelen beschikken. Om met de uiteenlopende nationale bestuursstructuren rekening te houden, reeds bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie ongemoeid te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen. Wanneer zij dat doen, moeten zij de respectieve taken van de betrokken autoriteiten wel duidelijk afbakenen en ervoor zorgen dat deze vlot en doeltreffend samenwerken. Alle bevoegde autoriteiten moeten ook meer in het algemeen met andere relevante autoriteiten samenwerken, zowel op nationaal als op Unieniveau.

(17) Om grensoverschrijdende samenwerking en communicatie te vergemakkelijken en de doeltreffende uitvoering van deze richtlijn mogelijk te maken, moet elke lidstaat, onverminderd sectorspecifieke wettelijke vereisten van de Unie, binnen een van de autoriteiten die hij uit hoofde van deze richtlijn als bevoegde autoriteit heeft aangewezen, een centraal contactpunt aanwijzen dat verantwoordelijk is voor de coördinatie van kwesties in verband met de veerkracht van kritieke entiteiten en grensoverschrijdende samenwerking op Unieniveau in dit opzicht.

(18) Aangezien krachtens de NIS 2-richtlijn als kritiek geïdentificeerde entiteiten evenals geïdentificeerde entiteiten in de sector digitale infrastructuur die uit hoofde van de onderhavige richtlijn als daarmee gelijkwaardig moeten worden behandeld, moeten voldoen aan de voorschriften inzake cyberbeveiliging van de NIS 2-richtlijn, moeten de bevoegde autoriteiten die uit hoofde van de twee richtlijnen zijn aangewezen, samenwerken, met name met betrekking tot cyberbeveiligingsrisico’s en -incidenten die voor die entiteiten negatieve gevolgen hebben.

(19) De lidstaten moeten kritieke entiteiten ondersteunen bij het versterken van hun veerkracht, overeenkomstig hun verplichtingen uit hoofde van deze richtlijn, onverminderd de eigen wettelijke verantwoordelijkheid van de entiteiten om deze naleving te waarborgen. De lidstaten zouden met name richtsnoeren en methoden kunnen ontwikkelen, ondersteuning kunnen verlenen bij de organisatie van oefeningen om de veerkracht van de kritieke entiteiten te testen en kunnen voorzien in opleiding van personeel van kritieke entiteiten. Gezien de afhankelijkheidsrelaties tussen entiteiten en sectoren, moeten de lidstaten bovendien instrumenten voor informatie-uitwisseling opzetten voor de ondersteuning van de vrijwillige uitwisseling van informatie tussen kritieke entiteiten, onverminderd de toepassing van de mededingingsregels als vervat in het Verdrag betreffende de werking van de Europese Unie.

(20) Om hun veerkracht te kunnen waarborgen, moeten kritieke autoriteiten een breed inzicht hebben in alle relevante risico’s waaraan zij zijn blootgesteld, en die risico’s analyseren. Daartoe moeten zij, telkens wanneer hun specifieke omstandigheden en de evolutie van die risico’s daartoe nopen, maar in ieder geval om de vier jaar, risicobeoordelingen uitvoeren. De risicobeoordelingen door de kritieke entiteiten moeten zijn gebaseerd op de door de lidstaten uitgevoerde risicobeoordeling.

(21) Kritieke entiteiten moeten organisatorische en technische maatregelen nemen die passen bij en evenredig zijn met de risico’s waarmee zij worden geconfronteerd, om incidenten te voorkomen, te weerstaan, te beperken of op te vangen, of zich aan een incident aan te passen of daarvan te herstellen. Hoewel kritieke entiteiten maatregelen moeten nemen ten aanzien van alle punten die in deze richtlijn worden genoemd, moeten de maatregelen wat betreft details en reikwijdte passend en evenredig zijn, naargelang de verschillende risico’s die elke entiteit in het kader van haar risicobeoordeling heeft geïdentificeerd en de specifieke kenmerken van de betrokken entiteit.

(22) Met het oog op doeltreffendheid en verantwoording moeten kritieke entiteiten, rekening houdend met de geïdentificeerde risico’s, dergelijke maatregelen in een plan inzake veerkracht dan wel een of meer daarmee vergelijkbare documenten voldoende gedetailleerd beschrijven om die doelen te kunnen verwezenlijken, en dat plan in de praktijk toepassen. Dergelijke gelijkwaardige documenten kunnen worden opgesteld overeenkomstig de voorschriften en normen die zijn ontwikkeld in het kader van internationale overeenkomsten inzake fysieke bescherming waarbij lidstaten eventueel partij zijn, zoals het Verdrag inzake de fysieke beveiliging van kernmateriaal en kerninstallaties.

(23) Bij Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad 28 , Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad 29 en Richtlijn 2005/65/EG van het Europees Parlement en de Raad 30 zijn verplichtingen voor entiteiten in de sectoren luchtvaart en zeevervoer vastgesteld om incidenten als gevolg van wederrechtelijke gedragingen te voorkomen en de gevolgen van dergelijke incidenten het hoofd te bieden en te beperken. Hoewel de uit hoofde van deze richtlijn vereiste maatregelen breder zijn wat de bestreken risico’s en soorten te nemen maatregelen betreft, moeten de kritieke entiteiten in die sectoren de krachtens die andere handelingen van de Unie genomen maatregelen tot uitdrukking brengen in hun plan inzake veerkracht of daarmee vergelijkbare documenten. Bovendien kunnen kritieke autoriteiten bij de uitvoering van veerkrachtmaatregelen uit hoofde van deze richtlijn overwegen te verwijzen naar niet-bindende richtsnoeren en documenten met goede praktijken die zijn ontwikkeld in het kader van sectorale werkstromen, zoals het EU-platform voor de beveiliging van treinreizigers 31

(24) Het risico dat werknemers van kritieke entiteiten bijvoorbeeld hun toegangsrechten misbruiken om binnen de organisatie van de entiteit schade te veroorzaken, wordt steeds zorgwekkender geacht. Dit risico wordt versterkt door het toenemende verschijnsel van radicalisering die uitmondt in gewelddadig extremisme en terrorisme. Het is dan ook noodzakelijk dat kritieke entiteiten om antecedentenonderzoeken kunnen verzoeken in verband met personen die tot specifieke categorieën van hun personeel behoren en te waarborgen dat die verzoeken door de relevante autoriteiten snel worden beoordeeld overeenkomstig de toepasselijke regels van het Unierecht en het nationale recht, onder meer inzake de bescherming van persoonsgegevens.

(25) De kritieke entiteiten moeten de bevoegde autoriteiten van de lidstaten, zo snel als in de gegeven omstandigheden redelijkerwijs mogelijk is, in kennis stellen van incidenten die hun activiteiten aanzienlijk verstoren of zouden kunnen verstoren. De kennisgeving moet de bevoegde autoriteiten in staat stellen snel en adequaat te reageren en een volledig overzicht te verkrijgen van de algehele risico’s waarmee de kritieke entiteiten te maken hebben. Daartoe moet een procedure voor de kennisgeving van bepaalde incidenten worden vastgesteld en worden voorzien in criteria aan de hand waarvan kan worden bepaald of de feitelijke of potentiële verstoring aanzienlijk is en de incidenten aldus moeten worden gemeld. Gezien de mogelijke grensoverschrijdende gevolgen van dergelijke verstoringen, moet een procedure worden vastgesteld die lidstaten dienen te volgen om andere getroffen lidstaten via centrale contactpunten te informeren.

(26) Ofschoon kritieke entiteiten over het algemeen binnen een steeds hechter dienstverlenings- en infrastructureel netwerk opereren en dikwijls in meer dan een lidstaat essentiële diensten verlenen in meer dan een lidstaat, vereist een aantal van die entiteiten specifiek toezicht op Unieniveau, omdat zij van bijzonder belang voor de Unie zijn, gezien het grote aantal lidstaten waaraan zij essentiële diensten verlenen. Derhalve moeten er regels inzake het specifieke toezicht op dergelijke kritieke entiteiten van bijzonder Europees belang worden vastgesteld. Deze regels laten de in deze richtlijn vervatte regels inzake toezicht en handhaving onverlet.

(27) Wanneer een lidstaat van oordeel is dat aanvullende informatie noodzakelijk is om een kritieke entiteit te kunnen adviseren bij het nakomen van haar verplichtingen krachtens hoofdstuk III of om te kunnen beoordelen of een kritieke entiteit van bijzonder Europees belang die verplichtingen nakomt, moet de Commissie, in overleg met de lidstaat waar de infrastructuur van die entiteit zich bevindt, een adviesmissie organiseren om de door die entiteit genomen maatregelen te beoordelen. Om ervoor te zorgen dat dergelijke adviesmissies naar behoren worden verricht, moeten aanvullende regels worden vastgesteld, met name inzake de organisatie en uitvoering daarvan, de te verlenen follow-up en de verplichtingen van de betrokken kritieke entiteiten van bijzonder Europees belang. De adviesmissies moeten worden uitgevoerd volgens de specifieke regels van het recht van de betrokken lidstaat, bijvoorbeeld inzake de precieze voorwaarden waaraan moet worden voldaan om toegang tot relevante gebouwen of documenten te krijgen en inzake hoger beroep, hetgeen onverlet laat dat de lidstaat waar de adviesmissie wordt uitgevoerd alsook de betrokken entiteit de regels van deze richtlijn moeten naleven. Om de specifieke deskundigheid die voor dergelijke missies vereist is, zou in voorkomend geval kunnen worden verzocht via het Coördinatiecentrum voor respons in noodsituaties.

(28) Ter ondersteuning van de Commissie en ter vereenvoudiging van strategische samenwerking en uitwisseling van informatie, waaronder beste praktijken, betreffende kwesties in verband met deze richtlijn, moet een groep voor de veerkracht van kritieke entiteiten, welke een deskundigengroep van de Commissie is, worden opgericht. De lidstaten moeten trachten te waarborgen dat de aangewezen vertegenwoordigers van hun bevoegde autoriteiten binnen de Groep voor de veerkracht van kritieke entiteiten doeltreffend en doelmatig samenwerken. De Groep moet haar taken zes maanden na de inwerkingtreding van deze richtlijn aanvatten, teneinde te voorzien in aanvullende middelen voor passende samenwerking tijdens de omzettingsperiode van deze richtlijn.

(29) Ter verwezenlijking van de doelstellingen van deze richtlijn en onverminderd de wettelijke verantwoordelijkheid van de lidstaten en kritieke entiteiten om te waarborgen dat zij hun respectieve verplichtingen uit hoofde van deze richtlijn naleven, moet de Commissie, voor zover zij zulks passend acht, bepaalde ondersteunende activiteiten ondernemen om die naleving te vergemakkelijken. Wanneer de Commissie de lidstaten en kritieke entiteiten bij de uitvoering van verplichtingen uit hoofde van deze richtlijn ondersteunt, moet zij voortbouwen op bestaande structuren en instrumenten, zoals die in het kader van het Uniemechanisme voor civiele bescherming en het Europees referentienetwerk voor de bescherming van kritieke infrastructuur.

(30) De lidstaten moeten ervoor zorgen dat hun bevoegde autoriteiten over bepaalde specifieke bevoegdheden beschikken voor de juiste toepassingen en handhaving van deze richtlijn met betrekking tot de kritieke entiteiten, voor zover die entiteiten overeenkomstig deze richtlijn onder hun jurisdictie vallen. Daarbij gaat het met name om de bevoegdheid inspecties, toezicht en audits te verrichten, van kritieke entiteiten te verlangen dat deze informatie en bewijs verstrekken in verband met de maatregelen die zij hebben genomen met het oog op het nakomen van hun verplichtingen, en zo nodig opdracht te geven om vastgestelde inbreuken te verhelpen. Bij het geven van zulke opdrachten mogen de lidstaten geen maatregelen verlangen die verder gaan dan nodig en evenredig is om te waarborgen dat de betrokken kritieke entiteit aan haar verplichtingen voldoet, en moeten zij met name rekening houden met de ernst van de inbreuk en de economische capaciteit van de kritieke entiteit. Meer algemeen moeten die bevoegdheden vergezeld gaan van passende en doeltreffende waarborgen die in nationaal recht moeten worden vastgelegd, overeenkomstig de vereisten die voortvloeien uit het Handvest van de grondrechten van de Europese Unie. Bij de beoordeling of een kritieke entiteit haar verplichtingen uit hoofde van deze richtlijn nakomt, moeten de uit hoofde van deze richtlijn aangewezen bevoegde autoriteiten de uit hoofde van de NIS 2-richtlijn aangewezen bevoegde autoriteiten kunnen verzoeken om de cyberbeveiliging van die entiteiten te beoordelen. Die bevoegde autoriteiten moeten daartoe hun medewerking verlenen en informatie uitwisselen.

(31) Teneinde rekening te houden met nieuwe risico’s, technologische ontwikkelingen of specifieke kenmerken van een of meer sectoren, moet de bevoegdheid om handelingen vast te stellen overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie aan de Commissie worden overgedragen, zodat zij de door die kritieke entiteiten te nemen veerkrachtmaatregelen kan aanvullen door sommige daarvan of al die maatregelen nader te specificeren. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden passende raadplegingen houdt, onder meer op deskundigenniveau, en dat die raadplegingen plaatsvinden in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 32 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(32) Om eenvormige voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 33 .

(33) Daar de doelstellingen van deze richtlijn, namelijk te verzekeren dat diensten die essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten, binnen de interne dienstenmarkt worden verleend alsmede de veerkracht van de kritieke entiteiten die dergelijke diensten verlenen, te vergroten, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de effecten van het optreden beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel 5 neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstellingen te verwezenlijken.

(34) Richtlijn 2008/114/EG moet derhalve worden ingetrokken.