D 2022/2557/EU betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad
Richtlijn (EU) 2022/2557 van 14 december 2022 van het Europees Parlement en de Raad betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad

Deze richtlijn:

a)

legt verplichtingen voor de lidstaten vast tot het nemen van specifieke maatregelen om te waarborgen dat diensten die essentieel zijn voor de instandhouding van vitale maatschappelijke functies of economische activiteiten, binnen het toepassingsgebied van artikel 114 VWEU op de interne markt zonder belemmeringen worden verleend, met name de verplichtingen om kritieke entiteiten te identificeren en kritieke entiteiten te helpen aan hun opgelegde verplichtingen te voldoen;

b)

legt verplichtingen voor kritieke entiteiten vast ter vergroting van hun weerbaarheid en hun vermogen om diensten als bedoeld in punt a) op de interne markt te verlenen;

c)

stelt regels vast:

i)

voor het toezicht op kritieke entiteiten

ii)

voor handhaving;

iii)

voor de identificatie van kritieke entiteiten van bijzonder Europees belang en voor de adviesmissies om maatregelen te beoordelen die entiteiten hebben ingevoerd om aan hun verplichtingen uit hoofde van hoofdstuk III te voldoen;

d)

stelt gemeenschappelijke procedures voor samenwerking en rapportage vast voor de toepassing van deze richtlijn;

e)

legt maatregelen vast om de weerbaarheid van kritieke entiteiten op een hoog niveau te brengen teneinde de verlening van essentiële diensten in de Unie te waarborgen en de werking van de interne markt te verbeteren.

Deze richtlijn is niet van toepassing op aangelegenheden die vallen onder Richtlijn (EU) 2022/2555, onverminderd artikel 8 van deze richtlijn. Aangezien de fysieke beveiliging en cyberbeveiliging van kritieke entiteiten met elkaar verband houden, zorgen de lidstaten ervoor dat deze richtlijn en Richtlijn (EU) 2022/2555 op gecoördineerde wijze worden uitgevoerd.

Wanneer bepalingen van sectorspecifieke rechtshandelingen van de Unie voorschrijven dat kritieke entiteiten maatregelen nemen om hun weerbaarheid te vergroten, en wanneer die voorschriften door de lidstaten worden erkend als ten minste gelijkwaardig aan de in deze richtlijn overeenkomende verplichtingen, zijn de desbetreffende bepalingen van deze richtlijn, met inbegrip van de bepalingen inzake toezicht en handhaving van hoofdstuk VI, niet van toepassing.

Onverminderd artikel 346 VWEU wordt informatie die op grond van Unie- of nationale regelgeving vertrouwelijk is, zoals voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie, uitsluitend met de Commissie en andere betrokken autoriteiten, overeenkomstig deze richtlijn, uitgewisseld wanneer dat noodzakelijk is voor de toepassing van deze richtlijn. Er wordt uitsluitend informatie uitgewisseld die relevant is voor en evenredig is met het doel van die uitwisseling. Bij de uitwisseling van informatie worden de vertrouwelijkheid van die informatie en de veiligheids- en commerciële belangen van kritieke entiteiten gewaarborgd, en wordt de veiligheid van de lidstaten in acht genomen.

Deze richtlijn laat de verantwoordelijkheid van de lidstaten om de nationale veiligheid te beschermen en hun bevoegdheid om andere essentiële staatsfuncties te beschermen, waaronder het verdedigen van de territoriale integriteit van de staat en het handhaven van de openbare orde, onverlet.

Deze richtlijn is niet van toepassing op overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten.

De lidstaten kunnen besluiten dat de bepalingen van artikel 11 en hoofdstuk III, IV en VI geheel of gedeeltelijk niet van toepassing zijn op specifieke kritieke entiteiten die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het onderzoeken, opsporen en vervolgen van strafbare feiten, of die uitsluitend diensten verlenen aan de in lid 6 van dit artikel bedoelde overheidsinstanties.

De in deze richtlijn vastgelegde verplichtingen omvatten niet de verstrekking van informatie waarvan de bekendmaking strijdig zou zijn met de wezenlijke belangen van de lidstaten inzake nationale veiligheid, openbare veiligheid of defensie.

Deze richtlijn doet geen afbreuk aan het Unierecht inzake de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad en Richtlijn 2002/58/EG van het Europees Parlement en de Raad.

Voor de toepassing van deze richtlijn wordt verstaan onder:

1)

“kritieke entiteit”: een publieke of particuliere entiteit die overeenkomstig artikel 6 door een lidstaat is geïdentificeerd als behorende tot een van de categorieën die zijn vermeld in de derde kolom van de tabel in de bijlage;

2)

“weerbaarheid”: het vermogen van een kritieke entiteit om een incident te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op of, zich aan te passen aan en te herstellen van een incident;

3)

“incident”: elke gebeurtenis die het verlenen van een essentiële dienst aanzienlijk kan verstoren of verstoort, ook wanneer de gebeurtenis gevolgen heeft voor de nationale systemen die de rechtsstaat waarborgen;

4)

“kritieke infrastructuur”: een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst;

5)

“essentiële dienst”: een dienst die van cruciaal belang is voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu;

6)

“risico”: de mogelijkheid van verlies of verstoring als gevolg van een incident; dat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat het incident zich voordoet;

7)

“risicobeoordeling”: het gehele proces ter bepaling van de aard en omvang van een risico door potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een incident kunnen leiden, in kaart te brengen en te analyseren, en door het verlies of de verstoring van een essentiële dienst die dat incident zou kunnen veroorzaken in te schatten;

8)

“norm”: een norm zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad;

9)

“technische specificatie”: een technische specificatie zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012;

10)

“overheidsinstantie”: een entiteit die overeenkomstig het nationale recht als zodanig in een lidstaat is erkend, met uitzondering van de rechterlijke macht, parlementen en centrale banken, en die aan de volgende criteria voldoet:

a)

zij is opgericht om te voorzien in behoeften van algemeen belang en heeft geen industrieel of commercieel karakter;

b)

zij heeft rechtspersoonlijkheid of mag volgens de wet namens een andere entiteit met rechtspersoonlijkheid optreden;

c)

zij wordt grotendeels gefinancierd door staatsautoriteiten of door andere publiekrechtelijke centrale organen, is onderworpen aan beheerstoezicht door deze autoriteiten of organen, of heeft een bestuurs-, leidinggevend of toezichthoudend orgaan waarvan de leden voor meer dan de helft door staatsautoriteiten of door andere publiekrechtelijke centrale organen worden benoemd;

d)

zij heeft de bevoegdheid ten aanzien van natuurlijke of rechtspersonen administratieve of regelgevende besluiten te nemen die van invloed zijn op hun rechten bij het grensoverschrijdende verkeer van personen, goederen, diensten of kapitaal.

Deze richtlijn belet lidstaten niet bepalingen van nationaal recht vast te stellen of te handhaven teneinde het weerbaarheidsniveau van kritieke entiteiten te verhogen, mits dergelijke bepalingen stroken met de plichten van de lidstaten die zijn vastgelegd in het Unierecht