VERSLAG over het voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen

12.2.2014 - (COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD)) - ***I

Commissie interne markt en consumentenbescherming
Rapporteur: Andreas Schwab
Rapporteurs voor advies (*):
Pilar del Castillo Vera, Commissie industrie, onderzoek en energie,
Carl Schlyter, Commissie burgerlijke vrijheden, justitie en binnenlandse zaken
(*) Procedure met medeverantwoordelijke commissies – Artikel 50 van het Reglement
PR_COD_1amCom

Amendementen

• 001-138 (PDF - 389 KB)
• 001-138 (DOC - 509 KB)
• 139-142 (PDF - 121 KB)
• 139-142 (DOC - 172 KB)

ONTWERPWETGEVINGSRESOLUTIE VAN HET EUROPEES PARLEMENT

over het voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

–   gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2013)0048),

–   gezien artikel 294, lid 2, en artikel 114 van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C7‑0035/2013),

–   gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

–   gezien artikel 55 van zijn Reglement,

–   gezien het advies van het Europees Economisch en Sociaal Comité van 22 mei 2013[1],

–   gezien zijn resolutie van 12 september 2013 over een EU-strategie inzake cyberveiligheid: Een open, veilige en beveiligde cyberruimte[2].

–   gezien het verslag van de Commissie interne markt en consumentenbescherming en de adviezen van de Commissie industrie, onderzoek en energie, de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en de Commissie buitenlandse zaken (A7-0103/2014),

1.  stelt onderstaand standpunt in eerste lezing vast;

2.  verzoekt om hernieuwde voorlegging indien de Commissie voornemens is ingrijpende wijzigingen in haar voorstel aan te brengen of dit door een nieuwe tekst te vervangen;

3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en aan de Commissie alsmede aan de nationale parlementen.

Amendement  1 Voorstel voor een richtlijn Overweging 1
Door de Commissie voorgestelde tekst	Amendement
(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt.	(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de vrijheid en de algehele beveiliging van de burgers van de Unie en de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt.
Amendement  2 Voorstel voor een richtlijn Overweging 2
Door de Commissie voorgestelde tekst	Amendement
(2) De omvang en frequentie van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen.	(2) De omvang, frequentie en impact van beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Die systemen kunnen ook een gemakkelijk doelwit worden van opzettelijke schadelijke acties die bedoeld zijn om de werking van de systemen schade toe te brengen of te onderbreken. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het vertrouwen van gebruikers en investeerders ondermijnen en de economie van de Unie ernstige schade toebrengen, en uiteindelijk een gevaar vormen voor het welzijn van de burgers van de Unie en voor het vermogen van de lidstaten om zich te beschermen en de beveiliging van kritieke infrastructuur te waarborgen.
Amendement  3 Voorstel voor een richtlijn Overweging 3 bis
Door de Commissie voorgestelde tekst	Amendement
	3 bis. Aangezien veel voorkomende oorzaken van systeemfalen nog altijd onopzettelijk zijn, zoals natuurlijke oorzaken of menselijke fouten, moet infrastructuur veerkrachtig zijn bij zowel opzettelijke als onopzettelijke verstoringen, en moeten exploitanten van kritieke infrastructuur op veerkracht gebaseerde systemen ontwerpen.
Amendement  4 Voorstel voor een richtlijn Overweging 4
Door de Commissie voorgestelde tekst	Amendement
(4) Op het niveau van de Unie moet een samenwerkingsmechanisme worden opgezet dat informatie-uitwisseling en gecoördineerde opsporing en reactie met betrekking tot netwerk- en informatiebeveiliging ("NIB") mogelijk maakt. Opdat dat mechanisme doeltreffend en inclusief zou zijn, is het essentieel dat alle lidstaten over minimumcapaciteit en een strategie beschikken om op hun grondgebied een hoog niveau van NIB te waarborgen. Om een cultuur van risicobeheer te bevorderen en ervoor te zorgen dat de ernstigste incidenten worden gemeld, moeten ook voor overheden en exploitanten van kritieke informatie-infrastructuur minimumeisen inzake beveiliging gelden.	(4) Op het niveau van de Unie moet een samenwerkingsmechanisme worden opgezet dat informatie-uitwisseling en gecoördineerde preventie, opsporing en reactie met betrekking tot netwerk- en informatiebeveiliging ("NIB") mogelijk maakt. Opdat dat mechanisme doeltreffend en inclusief zou zijn, is het essentieel dat alle lidstaten over minimumcapaciteit en een strategie beschikken om op hun grondgebied een hoog niveau van NIB te waarborgen. Om een cultuur van risicobeheer te bevorderen en ervoor te zorgen dat de ernstigste incidenten worden gemeld, moeten ook voor bepaalde marktdeelnemers die informatie-infrastructuur exploiteren, minimumeisen inzake beveiliging gelden. Beursgenoteerde ondernemingen dienen te worden aangemoedigd om incidenten op vrijwillige basis in hun financiële verslagen openbaar te maken. Het wettelijke kader dient te zijn gebaseerd op de noodzaak de persoonlijke levenssfeer en de integriteit van burgers te vrijwaren. Het Waarschuwingsnetwerk betreffende kritieke infrastructuur (CIWIN) dient te worden uitgebreid naar de onder deze richtlijn vallende marktdeelnemers.
Amendement  5 Voorstel voor een richtlijn Overweging 4 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 bis) Terwijl overheden op grond van hun publieke taak zorgvuldigheid moeten betrachten bij het beheer en de bescherming van hun eigen netwerk- en informatiesystemen, dient deze richtlijn zich te richten op de kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, infrastructuur voor de financiële markt en gezondheid. Softwareontwikkelaars en hardwarefabrikanten dienen van het toepassingsgebied van deze richtlijn te worden uitgesloten.
Amendement  6 Voorstel voor een richtlijn Overweging 4 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 ter) De samenwerking en coördinatie van de desbetreffende autoriteiten van de Unie met de hoge vertegenwoordiger/vicevoorzitter, die verantwoordelijk is voor het gemeenschappelijk buitenlands en veiligheidsbeleid en het gemeenschappelijk veiligheids- en defensiebeleid, alsook met de EU-coördinator voor terrorismebestrijding moeten worden gegarandeerd wanneer wordt aangenomen dat incidenten met een aanzienlijke impact van externe en terroristische aard zijn.
Amendement  7 Voorstel voor een richtlijn Overweging 6
Door de Commissie voorgestelde tekst	Amendement
(6) De bestaande capaciteit volstaat niet om een hoog niveau van NIB in de Unie te waarborgen. Omdat het niveau van paraatheid van de lidstaten sterk uiteenloopt, is de aanpak in de Unie gefragmenteerd. Dit leidt tot ongelijke niveaus van bescherming van consumenten en bedrijven en ondermijnt het algemene NIB-niveau in de Unie. Doordat er geen gemeenschappelijke minimumeisen ten aanzien van overheden en marktdeelnemers gelden, is het dan weer onmogelijk een overkoepelend en doeltreffend mechanisme voor samenwerking op het niveau van de Unie op te zetten.	(6) De bestaande capaciteit volstaat niet om een hoog niveau van NIB in de Unie te waarborgen. Omdat het niveau van paraatheid van de lidstaten sterk uiteenloopt, is de aanpak in de Unie gefragmenteerd. Dit leidt tot ongelijke niveaus van bescherming van consumenten en bedrijven en ondermijnt het algemene NIB-niveau in de Unie. Doordat er geen gemeenschappelijke minimumeisen ten aanzien van marktdeelnemers gelden, is het dan weer onmogelijk een overkoepelend en doeltreffend mechanisme voor samenwerking op het niveau van de Unie op te zetten. De universiteiten en onderzoeksinstellingen spelen een bepalende rol bij het stimuleren van onderzoek, ontwikkeling en innovatie op deze gebieden en dienen adequaat te worden gefinancierd.
Amendement  8 Voorstel voor een richtlijn Overweging 7
Door de Commissie voorgestelde tekst	Amendement
(7) Om doeltreffend te reageren op de beveiligingsuitdagingen voor netwerk- en informatiesystemen is daarom een overkoepelende aanpak op het niveau van de Unie nodig die gemeenschappelijke minimumeisen inzake capaciteitsopbouw en planning, informatie-uitwisseling, coördinatie van maatregelen en gemeenschappelijke minimumeisen inzake beveiliging voor alle betrokken marktdeelnemers en overheden omvat.	(7) Om doeltreffend te reageren op de beveiligingsuitdagingen voor netwerk- en informatiesystemen is daarom een overkoepelende aanpak op het niveau van de Unie nodig die gemeenschappelijke minimumeisen inzake capaciteitsopbouw en planning, de ontwikkeling van voldoende vaardigheden op het gebied van cyberbeveiliging, informatie-uitwisseling, coördinatie van maatregelen en gemeenschappelijke minimumeisen inzake beveiliging omvat. Er moeten gemeenschappelijke minimumnormen worden toegepast overeenkomstig de relevante aanbevelingen van de Cyber Security Coordination Group (CSCG).
Amendement  9 Voorstel voor een richtlijn Overweging 8
Door de Commissie voorgestelde tekst	Amendement
(8) De bepalingen van deze richtlijn moeten de mogelijkheid onverlet laten dat elke lidstaat de nodige maatregelen neemt om voor de bescherming van zijn essentiële veiligheidsbelangen te zorgen, de openbare orde en de openbare veiligheid te garanderen en het onderzoek, de opsporing en de vervolging van misdrijven mogelijk te maken. Overeenkomstig artikel 346 VWEU mag geen enkele lidstaat verplicht worden inlichtingen te verstrekken waarvan de openbaarmaking naar zijn mening strijdig is met wezenlijke veiligheidsbelangen.	(8) De bepalingen van deze richtlijn moeten de mogelijkheid onverlet laten dat elke lidstaat de nodige maatregelen neemt om voor de bescherming van zijn essentiële veiligheidsbelangen te zorgen, de openbare orde en de openbare veiligheid te garanderen en het onderzoek, de opsporing en de vervolging van misdrijven mogelijk te maken. Overeenkomstig artikel 346 VWEU mag geen enkele lidstaat verplicht worden inlichtingen te verstrekken waarvan de openbaarmaking naar zijn mening strijdig is met wezenlijke veiligheidsbelangen. De lidstaten zijn niet verplicht om gerubriceerde EU-informatie als omschreven in Besluit 2011/292/EU van de Raad van 31 maart 2011 betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie, en informatie waarop geheimhoudingsovereenkomsten of informele geheimhoudingsovereenkomsten van toepassing zijn, zoals het verkeerslichtprotocol ("Traffic Light Protocol"), openbaar te maken.
Motivering
Dit amendement beoogt helderheid te verschaffen ten aanzien van de behandeling van vertrouwelijke informatie in het kader van deze richtlijn.
Amendement  10 Voorstel voor een richtlijn Overweging 9
Door de Commissie voorgestelde tekst	Amendement
(9) Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op nationaal niveau moeten aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt.	(9) Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op basis van de in deze richtlijn vastgestelde minimumeisen moeten er op nationaal niveau aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt, met eerbiediging en bescherming van de persoonlijke levenssfeer en de persoonsgegevens. Elke lidstaat dient bijgevolg verplicht te worden te voldoen aan gemeenschappelijke normen voor gegevensformaten en de uitwisselbaarheid van te delen en te evalueren gegevens. De lidstaten moeten het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (ENISA) om bijstand kunnen vragen bij de ontwikkeling van hun nationale NIB-strategie op basis van een gemeenschappelijke minimale blauwdruk voor NIB-strategieën.
Amendement  11 Voorstel voor een richtlijn Overweging 10 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(10 bis) Om rekening te houden met de uiteenlopende nationale bestuursstructuren, reeds bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie ongemoeid te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen voor de uitvoering van de uit deze richtlijn voortvloeiende taken in verband met de beveiliging van de netwerken en informatiesystemen van marktdeelnemers. Om te zorgen voor soepele grensoverschrijdende samenwerking en communicatie, is het echter nodig dat iedere lidstaat, ongeacht de sectorale regelingen, slechts één enkel nationaal contactpunt aanwijst voor de grensoverschrijdende samenwerking op het niveau van de Unie. Indien dit op grond van zijn constitutionele bestel of op andere gronden noodzakelijk is, moet een lidstaat slechts één autoriteit kunnen aanwijzen voor de uitvoering van de taken van de bevoegde autoriteit en het ene contactpunt. De bevoegde autoriteiten en de contactpunten moeten civiele instanties zijn die aan volledige democratische controle onderworpen zijn, en mogen geen taken op het gebied van inlichtingen, wetshandhaving of defensie verrichten of in enigerlei vorm organisatorische banden hebben met organen die op deze gebieden actief zijn.
Amendement  12 Voorstel voor een richtlijn Overweging 11
Door de Commissie voorgestelde tekst	Amendement
(11) Alle lidstaten moeten zowel technisch als organisatorisch voldoende zijn toegerust voor het voorkomen en opsporen van en reageren op incidenten en risico's met betrekking tot netwerk- en informatiesystemen. Daarom moeten in alle lidstaten goed functionerende, aan essentiële eisen beantwoordende computercrisisteams (Computer Emergency Response Teams – CERT's) worden opgericht die voor doeltreffende en compatibele capaciteit voor de aanpak van incidenten en risico's moeten zorgen en doeltreffende samenwerking op het niveau van de Unie waarborgen.	(11) Alle lidstaten en marktdeelnemers moeten zowel technisch als organisatorisch voldoende zijn toegerust voor het te allen tijde voorkomen en opsporen van en reageren op incidenten en risico's met betrekking tot netwerk- en informatiesystemen. Beveiligingssystemen van overheden dienen veilig te zijn en onderworpen aan democratische controle en toetsing. Algemeen benodigde apparatuur en middelen dienen te voldoen aan gemeenschappelijk overeengekomen technische normen, alsook aan standaardvoorschriften voor werkzaamheden (SPO's). Daarom moeten in alle lidstaten goed functionerende, aan essentiële eisen beantwoordende computercrisisteams (Computer Emergency Response Teams – CERT's) worden opgericht die voor doeltreffende en compatibele capaciteit voor de aanpak van incidenten en risico's moeten zorgen en doeltreffende samenwerking op het niveau van de Unie waarborgen. Deze CERT's moeten de mogelijkheid krijgen te communiceren op basis van gemeenschappelijke technische normen en SPO's. Gezien de verschillende kenmerken van de bestaande CERT’s, die voor verschillende behoeften en actoren worden ingezet, dienen de lidstaten te waarborgen dat elk van de sectoren zoals bedoeld in de in deze richtlijn opgenomen lijst van marktdeelnemers, onder de verantwoordelijkheid van ten minste één CERT valt. Met het oog op de grensoverschrijdende samenwerking tussen de CERT's moeten de lidstaten erop toezien dat de CERT's over voldoende middelen beschikken om aan de reeds bestaande samenwerkingsnetwerken op internationaal en Unieniveau te kunnen deelnemen.
Motivering
Interoperabiliteit moet gewaarborgd zijn.
Amendement  13 Voorstel voor een richtlijn Overweging 12
Door de Commissie voorgestelde tekst	Amendement
(12) Voortbouwend op de aanzienlijke vooruitgang die in het Europees Forum voor de lidstaten (EFMS) is geboekt met betrekking tot het bevorderen van discussies en de uitwisseling van goede beleidspraktijken, waaronder de ontwikkeling van beginselen voor Europese cybercrisissamenwerking, moeten de lidstaten en de Commissie een netwerk vormen om permanente communicatie tot stand te brengen en samenwerking te bevorderen. Dit beveiligde en doeltreffende samenwerkingsmechanisme moet gestructureerde en gecoördineerde informatie-uitwisseling, opsporing en reactie op het niveau van de Unie mogelijk maken.	(12) Voortbouwend op de aanzienlijke vooruitgang die in het Europees Forum voor de lidstaten (EFMS) is geboekt met betrekking tot het bevorderen van discussies en de uitwisseling van goede beleidspraktijken, waaronder de ontwikkeling van beginselen voor Europese cybercrisissamenwerking, moeten de lidstaten en de Commissie een netwerk vormen om permanente communicatie tot stand te brengen en samenwerking te bevorderen. Dit beveiligde en doeltreffende samenwerkingsmechanisme, waaraan in voorkomend geval ook de marktdeelnemers deelnemen, moet gestructureerde en gecoördineerde informatie-uitwisseling, opsporing en reactie op het niveau van de Unie mogelijk maken.
Amendement  14 Voorstel voor een richtlijn Overweging 13
Door de Commissie voorgestelde tekst	Amendement
(13) Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) moet de lidstaten en de Commissie met deskundigheid en advies bijstaan en de uitwisseling van beste praktijken faciliteren. Met name bij de toepassing van deze richtlijn moet de Commissie ENISA raadplegen. Om ervoor te zorgen dat de lidstaten en de Commissie doeltreffend en tijdig worden geïnformeerd, moeten binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over incidenten en risico's worden gegeven. Om capaciteit en kennis bij de lidstaten op te bouwen, moet het samenwerkingsnetwerk tevens dienstdoen als een instrument voor de uitwisseling van beste praktijken, dat de leden behulpzaam is bij het opbouwen van capaciteit en houvast biedt bij de organisatie van collegiale toetsingen en NIB-oefeningen.	(13) ENISA moet de lidstaten en de Commissie met deskundigheid en advies bijstaan en de uitwisseling van beste praktijken faciliteren. Met name bij de toepassing van deze richtlijn moeten de Commissie en de lidstaten ENISA raadplegen. Om ervoor te zorgen dat de lidstaten en de Commissie doeltreffend en tijdig worden geïnformeerd, moeten binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over incidenten en risico's worden gegeven. Om capaciteit en kennis bij de lidstaten op te bouwen, moet het samenwerkingsnetwerk tevens dienstdoen als een instrument voor de uitwisseling van beste praktijken, dat de leden behulpzaam is bij het opbouwen van capaciteit en houvast biedt bij de organisatie van collegiale toetsingen en NIB-oefeningen.
Amendement  15 Voorstel voor een richtlijn Overweging 13 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(13 bis) De lidstaten moeten bij de toepassing van de bepalingen van deze richtlijn, waar van toepassing, bestaande organisatiestructuren of strategieën kunnen gebruiken of aanpassen.
Amendement  16 Voorstel voor een richtlijn Overweging 14
Door de Commissie voorgestelde tekst	Amendement
(14) Er moet een beveiligde informatie-uitwisselingsstructuur worden opgezet om de uitwisseling van gevoelige en vertrouwelijke informatie binnen het netwerk mogelijk te maken. Onverminderd hun verplichting om incidenten en risico's met een uniale dimensie bij het samenwerkingsnetwerk te melden, mogen lidstaten alleen toegang tot vertrouwelijke informatie van andere lidstaten krijgen indien zij aantonen dat hun technische, financiële en personele middelen en processen, alsook hun communicatiestructuur, waarborgen dat hun deelname aan het netwerk doeltreffend, efficiënt en veilig is.	(14) Er moet een beveiligde informatie-uitwisselingsstructuur worden opgezet om de uitwisseling van gevoelige en vertrouwelijke informatie binnen het netwerk mogelijk te maken. Voor dat doel dient ten volle gebruik te worden gemaakt van de bestaande structuren in de Unie. Onverminderd hun verplichting om incidenten en risico's met een uniale dimensie bij het samenwerkingsnetwerk te melden, mogen lidstaten alleen toegang tot vertrouwelijke informatie van andere lidstaten krijgen indien zij aantonen dat hun technische, financiële en personele middelen en processen, alsook hun communicatiestructuur, waarborgen dat hun deelname aan het netwerk doeltreffend, efficiënt en veilig is en dat zij transparante methoden toepassen.
Amendement  17 Voorstel voor een richtlijn Overweging 15
Door de Commissie voorgestelde tekst	Amendement
(15) Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en informatie en beste praktijken uitwisselen in ruil voor operationele steun bij incidenten.	(15) Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en over en weer informatie en beste praktijken uitwisselen, waaronder de uitwisseling van relevante informatie en operationele steun en strategisch geanalyseerde informatie bij incidenten. Om de uitwisseling van informatie en beste praktijken doeltreffend te stimuleren is het essentieel ervoor te zorgen dat marktdeelnemers die deelnemen aan een dergelijke uitwisseling, geen nadelen ondervinden ten gevolge van hun samenwerking. Er zijn afdoende waarborgen nodig om ervoor te zorgen dat een dergelijke samenwerking voor deze marktdeelnemers niet leidt tot een verhoogd nalevingsrisico of nieuwe verplichtingen krachtens wetgeving inzake onder andere mededinging, intellectuele eigendom, gegevensbescherming of cybermisdrijven, en voor hen ook niet leidt tot verhoogde operationele of beveiligingsrisico's.
Amendement  18 Voorstel voor een richtlijn Overweging 16
Door de Commissie voorgestelde tekst	Amendement
(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten een gemeenschappelijke website opzetten om niet-vertrouwelijke informatie over de incidenten en risico's bekend te maken.	(16) Om voor transparantie te zorgen en de burgers van de Unie en marktdeelnemers naar behoren te informeren, moeten de contactpunten een gemeenschappelijke Uniebrede website opzetten om niet-vertrouwelijke informatie over de incidenten, risico's en methoden voor risicobeperking bekend te maken en om, waar nodig, adviezen te verstrekken over passende onderhoudsmaatregelen. De informatie op de website dient toegankelijk te zijn, ongeacht de gebruikte apparatuur. Op de website gepubliceerde persoonsgegevens dienen beperkt te blijven tot hetgeen noodzakelijk is, waarbij de anonimiteit zoveel mogelijk wordt gewaarborgd.
Amendement  19 Voorstel voor een richtlijn Overweging 18
Door de Commissie voorgestelde tekst	Amendement
(18) Uitgaande van de nationale ervaringen inzake crisisbeheer en in samenwerking met ENISA, moeten de Commissie en de lidstaten een NIB-samenwerkingsplan van de Unie opstellen waarin samenwerkingsmechanismen worden vastgesteld om risico's en incidenten aan te pakken. Met dat plan moet terdege rekening worden gehouden in de werking van het mechanisme voor vroegtijdige waarschuwing dat in het kader van het samenwerkingsnetwerk bestaat.	(18) Uitgaande van de nationale ervaringen inzake crisisbeheer en in samenwerking met ENISA, moeten de Commissie en de lidstaten een NIB-samenwerkingsplan van de Unie opstellen waarin samenwerkingsmechanismen, beste praktijken en operationele patronen worden vastgesteld om risico's en incidenten te voorkomen, op te sporen, te rapporteren en aan te pakken. Met dat plan moet terdege rekening worden gehouden in de werking van het mechanisme voor vroegtijdige waarschuwing dat in het kader van het samenwerkingsnetwerk bestaat.
Amendement  20 Voorstel voor een richtlijn Overweging 19
Door de Commissie voorgestelde tekst	Amendement
(19) Het geven van een vroegtijdige waarschuwing in het netwerk moet enkel worden voorgeschreven indien de omvang of ernst van het incident of risico van dien aard is of kan worden dat informatie over of coördinatie van de reactie op het niveau van de Unie vereist is. Vroegtijdige waarschuwingen moeten daarom worden beperkt tot mogelijke of daadwerkelijke incidenten of risico's die snel in omvang toenemen, de nationale reactiecapaciteit te boven gaan of meer dan een lidstaat treffen. Om een behoorlijke evaluatie mogelijk te maken, moet alle informatie die relevant is voor de beoordeling van het risico of incident, aan het samenwerkingsnetwerk worden meegedeeld.	(19) Het geven van een vroegtijdige waarschuwing in het netwerk moet enkel worden voorgeschreven indien de omvang of ernst van het incident of risico van dien aard is of kan worden dat informatie over of coördinatie van de reactie op het niveau van de Unie vereist is. Vroegtijdige waarschuwingen moeten daarom worden beperkt tot incidenten of risico's die snel in omvang toenemen, de nationale reactiecapaciteit te boven gaan of meer dan een lidstaat treffen. Om een behoorlijke evaluatie mogelijk te maken, moet alle informatie die relevant is voor de beoordeling van het risico of incident, aan het samenwerkingsnetwerk worden meegedeeld.
Amendement  21 Voorstel voor een richtlijn Overweging 20
Door de Commissie voorgestelde tekst	Amendement
(20) Zodra de bevoegde autoriteiten een vroegtijdige waarschuwing hebben ontvangen en beoordeeld, moeten zij een gecoördineerde reactie op grond van het NIB-samenwerkingsplan van de Unie overeenkomen. Zowel de bevoegde autoriteiten als de Commissie moeten worden geïnformeerd over de maatregelen die als gevolg van de gecoördineerde reactie op nationaal niveau zijn genomen.	(20) Zodra de contactpunten een vroegtijdige waarschuwing hebben ontvangen en beoordeeld, moeten zij een gecoördineerde reactie op grond van het NIB-samenwerkingsplan van de Unie overeenkomen. Zowel de contactpunten, ENISA als de Commissie moeten worden geïnformeerd over de maatregelen die als gevolg van de gecoördineerde reactie op nationaal niveau zijn genomen.
Amendement  22 Voorstel voor een richtlijn Overweging 21
Door de Commissie voorgestelde tekst	Amendement
(21) Gezien het mondiale karakter van NIB-problemen is er behoefte aan nauwere internationale samenwerking om beveiligingsnormen en informatie-uitwisseling te verbeteren en een gemeenschappelijke internationale aanpak van NIB-kwesties te bevorderen.	(21) Gezien het mondiale karakter van NIB-problemen is er behoefte aan nauwere internationale samenwerking om beveiligingsnormen en informatie-uitwisseling te verbeteren en een gemeenschappelijke internationale aanpak van NIB-kwesties te bevorderen. Kaders voor een dergelijke internationale samenwerking moeten voldoen aan Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001.
Amendement  23 Voorstel voor een richtlijn Overweging 22
Door de Commissie voorgestelde tekst	Amendement
(22) De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij overheden en marktdeelnemers. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van aan de risico's aangepaste beveiligingsmaatregelen behelst. Ook de totstandbrenging van een gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk.	(22) De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij de marktdeelnemers. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer, nauwe samenwerking en vertrouwen worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van aan de opzettelijke dan wel accidentele risico's en incidenten aangepaste beveiligingsmaatregelen behelst. Ook de totstandbrenging van een betrouwbaar gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk.
Amendement  24 Voorstel voor een richtlijn Overweging 24
Door de Commissie voorgestelde tekst	Amendement
(24) Deze verplichtingen moeten van de elektronischecommunicatiesector worden uitgebreid naar andere belangrijke aanbieders van diensten van de informatiemaatschappij zoals gedefinieerd in Richtlijn 98/34/EG van het Europees Parlement en de Raad betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij27, die ten grondslag liggen aan stroomafwaartse diensten van de informatiemaatschappij of onlineactiviteiten zoals platforms voor elektronische handel, gateways voor internetbetalingen, sociaalnetwerksites, zoekmachines, cloudcomputingdiensten en internetwinkels die applicaties aanbieden. Verstoring van deze ondersteunende diensten van de informatiemaatschappij belemmert de aanbieding van andere diensten van de informatiemaatschappij die daarvan in belangrijke mate afhankelijk zijn. Softwareontwikkelaars en hardwarefabrikanten zijn geen aanbieders van diensten van de informatiemaatschappij en zijn daarom uitgesloten. De genoemde verplichtingen moeten ook worden uitgebreid naar overheden en exploitanten van kritieke infrastructuur die sterk afhankelijk zijn van informatie- en communicatietechnologie en essentieel zijn voor de instandhouding van vitale economische en maatschappelijke functies zoals de voorziening van elektriciteit en gas, vervoer, kredietinstellingen, effectenbeurzen en gezondheidszorg. Verstoring van deze netwerk- en informatiesystemen zou de eengemaakte markt aantasten.	(24) Deze verplichtingen moeten van de elektronischecommunicatiesector worden uitgebreid naar exploitanten van infrastructuur die sterk afhankelijk zijn van informatie- en communicatietechnologie en essentieel zijn voor de instandhouding van vitale economische en maatschappelijke functies, zoals de stroom- en gasvoorziening, vervoer, kredietinstellingen, infrastructuur voor de financiële markt en gezondheidszorg. Verstoring van deze netwerk- en informatiesystemen zou de eengemaakte markt aantasten. De in deze richtlijn genoemde verplichtingen dienen weliswaar niet te worden uitgebreid naar belangrijke aanbieders van diensten van de informatiemaatschappij zoals gedefinieerd in Richtlijn 98/34/EG van het Europees Parlement en de Raad betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij27, die ten grondslag liggen aan stroomafwaartse diensten van de informatiemaatschappij of onlineactiviteiten zoals platforms voor elektronische handel, gateways voor internetbetalingen, sociaalnetwerksites, zoekmachines, cloudcomputingdiensten in het algemeen en internetwinkels die applicaties aanbieden, maar deze zouden de bevoegde autoriteit of het contactpunt op vrijwillige basis op de hoogte kunnen stellen van netwerkbeveiligingsincidenten waarvan zij dit nodig achten. De bevoegde autoriteit of het contactpunt dient, waar mogelijk, de marktdeelnemers die het incident hebben gemeld, strategisch geanalyseerde informatie te verstrekken die dienstig is bij het oplossen van de bedreiging voor de beveiliging.
Amendement  25 Voorstel voor een richtlijn Overweging 24 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(24 bis) De leveranciers van hardware en software zijn weliswaar als marktdeelnemers niet vergelijkbaar met de onder deze richtlijn vallende marktdeelnemers, maar hun producten ondersteunen de beveiliging van netwerk- en informatiesystemen. Zij spelen daarom een belangrijke rol doordat zij de marktdeelnemers in staat stellen hun netwerk- en informatie-infrastructuur te beveiligen. Aangezien voor hardware- en softwareproducten al de bestaande voorschriften inzake productaansprakelijkheid gelden, dienen de lidstaten op de handhaving van die voorschriften toe te zien.
Amendement  26 Voorstel voor een richtlijn Overweging 25
Door de Commissie voorgestelde tekst	Amendement
(25) De technische en organisatorische maatregelen die aan overheden en marktdeelnemers worden opgelegd, mogen er niet toe nopen dat een bepaald commercieel informatie- en communicatietechnologieproduct op een bepaalde wijze moet worden ontworpen, ontwikkeld of vervaardigd.	(25) De technische en organisatorische maatregelen die aan marktdeelnemers worden opgelegd, mogen er niet toe nopen dat een bepaald commercieel informatie- en communicatietechnologieproduct op een bepaalde wijze moet worden ontworpen, ontwikkeld of vervaardigd.
Amendement  27 Voorstel voor een richtlijn Overweging 26
Door de Commissie voorgestelde tekst	Amendement
(26) De overheden en marktdeelnemers moeten de beveiliging van de netwerken en systemen onder hun controle waarborgen. Het gaat daarbij voornamelijk om particuliere netwerken en systemen die door hun intern IT-personeel worden beheerd of waarvan de beveiliging is uitbesteed. De beveiligings- en meldingsverplichtingen moeten van toepassing zijn op de betrokken marktexploitanten en overheden, ongeacht of zij het onderhoud van hun netwerk- en informatiesystemen intern verrichten dan wel uitbesteden.	(26) De marktdeelnemers moeten de beveiliging van de netwerken en systemen onder hun controle waarborgen. Het gaat daarbij voornamelijk om particuliere netwerken en systemen die door hun intern IT-personeel worden beheerd of waarvan de beveiliging is uitbesteed. De beveiligings- en meldingsverplichtingen moeten van toepassing zijn op de betrokken marktdeelnemers, ongeacht of zij het onderhoud van hun netwerk- en informatiesystemen intern verrichten dan wel uitbesteden.
Amendement  28 Voorstel voor een richtlijn Overweging 28
Door de Commissie voorgestelde tekst	Amendement
(28) De bevoegde autoriteiten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. Bij de bekendmaking van aan de bevoegde autoriteiten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, worden afgewogen tegen mogelijke commerciële en imagoschade voor de overheden en marktdeelnemers die incidenten melden. Bij het nakomen van de meldingsverplichtingen moeten de bevoegde autoriteiten bijzondere aandacht besteden aan de noodzaak om informatie over de kwetsbare punten van producten strikt vertrouwelijk te houden tot er passende herstel- en beveiligingsmaatregelen zijn genomen.	(28) De bevoegde autoriteiten en contactpunten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. De bevoegde autoriteiten en contactpunten dienen de fabrikanten en dienstverleners van getroffen ICT-producten en -diensten op de hoogte te stellen van de aan hen gemelde incidenten met een aanzienlijke impact. Bij de bekendmaking van aan de bevoegde autoriteiten en contactpunten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, worden afgewogen tegen mogelijke commerciële en imagoschade voor de marktdeelnemers die incidenten melden. Bij het nakomen van de meldingsverplichtingen moeten de bevoegde autoriteiten en contactpunten bijzondere aandacht besteden aan de noodzaak om informatie over de kwetsbare punten van producten strikt vertrouwelijk te houden tot er passende herstel- en beveiligingsmaatregelen zijn genomen. Als regel mogen de contactpunten geen persoonsgegevens openbaar maken van personen die bij incidenten betrokken zijn. De contactpunten dienen persoonsgegevens alleen openbaar te maken indien de openbaarmaking van die gegevens noodzakelijk is en in verhouding staat tot het nagestreefde doel.
Amendement  29 Voorstel voor een richtlijn Overweging 29
Door de Commissie voorgestelde tekst	Amendement
(29) De bevoegde autoriteiten moeten over de nodige middelen beschikken om hun taken uit te voeren, met inbegrip van de bevoegdheid om van marktdeelnemers en overheden de nodige informatie te eisen om het beveiligingsniveau van netwerk- en informatiesystemen te beoordelen, alsook betrouwbare en complete gegevens over reële incidenten die een impact op de werking van netwerk- en informatiesystemen hebben gehad.	(29) De bevoegde autoriteiten moeten over de nodige middelen beschikken om hun taken uit te voeren, met inbegrip van de bevoegdheid om van marktdeelnemers de nodige informatie te eisen om het beveiligingsniveau van netwerk- en informatiesystemen te beoordelen en het aantal, de omvang en de reikwijdte van incidenten te meten, alsook betrouwbare en complete gegevens over reële incidenten die een impact op de werking van netwerk- en informatiesystemen hebben gehad.
Amendement  30 Voorstel voor een richtlijn Overweging 30
Door de Commissie voorgestelde tekst	Amendement
(30) In veel gevallen liggen criminele activiteiten aan de oorsprong van een incident. De criminele aard van incidenten kan worden verondersteld, zelfs indien daar in het begin nog niet voldoende bewijs voor is. Tegen die achtergrond moet een doeltreffende en alomvattende reactie op de dreiging van beveiligingsincidenten leiden tot passende samenwerking tussen bevoegde autoriteiten en wetshandhavingsinstanties. Om een veilige, beveiligde en veerkrachtige omgeving te bevorderen, moeten incidenten waarvan wordt vermoed dat ze van ernstig criminele aard zijn, systematisch aan wetshandhavingsautoriteiten worden gemeld. Of incidenten van ernstig criminele aard zijn, moet worden beoordeeld in het licht van de EU-wetgeving inzake cybercriminaliteit.	(30) In veel gevallen liggen criminele activiteiten aan de oorsprong van een incident. De criminele aard van incidenten kan worden verondersteld, zelfs indien daar in het begin nog niet voldoende bewijs voor is. Tegen die achtergrond moet een doeltreffende en alomvattende reactie op de dreiging van beveiligingsincidenten leiden tot passende samenwerking tussen bevoegde autoriteiten, contactpunten en wetshandhavingsinstanties, alsook tot samenwerking met het EC3 (Centrum voor de bestrijding van cybercriminaliteit van Europol) en ENISA. Om een veilige, beveiligde en veerkrachtige omgeving te bevorderen, moeten incidenten waarvan wordt vermoed dat ze van ernstig criminele aard zijn, systematisch aan wetshandhavingsautoriteiten worden gemeld. Of incidenten van ernstig criminele aard zijn, moet worden beoordeeld in het licht van de EU-wetgeving inzake cybercriminaliteit.
Amendement  31 Voorstel voor een richtlijn Overweging 31
Door de Commissie voorgestelde tekst	Amendement
(31) In veel gevallen worden persoonsgegevens aangetast als gevolg van incidenten. Daarom moeten de bevoegde autoriteiten en de autoriteiten voor gegevensbescherming samenwerken en informatie over alle relevante zaken uitwisselen om inbreuken in verband met persoonsgegevens als gevolg van incidenten aan te pakken. De lidstaten moeten de verplichting om beveiligingsincidenten te melden, gestalte geven op een wijze die de administratieve lasten minimaliseert wanneer het beveiligingsincident ook een inbreuk in verband met persoonsgegevens vormt overeenkomstig de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. ENISA, dat in contact staat met de bevoegde autoriteiten en de autoriteiten voor gegevensbescherming, kan bijstand verlenen door informatie-uitwisselingsmechanismen en modellen te ontwikkelen zodat er geen twee meldingsmodellen nodig zijn. Dit eenvormige meldingsmodel zou de rapportage van incidenten die persoonsgegevens aantasten, faciliteren en zo de administratieve lasten voor bedrijven en overheden verlichten.	(31) In veel gevallen worden persoonsgegevens aangetast als gevolg van incidenten. De lidstaten en de marktdeelnemers moeten opgeslagen, verwerkte of verstuurde persoonsgegevens beschermen tegen accidentele of onwettige vernietiging, accidenteel wissen of wijzigen en ongeoorloofde of onwettige opslag, toegang, openbaarmaking of verspreiding, en moeten de invoering waarborgen van een beveiligingsbeleid met betrekking tot de verwerking van persoonsgegevens. Daarom moeten de bevoegde autoriteiten, de contactpunten en de autoriteiten voor gegevensbescherming samenwerken en informatie uitwisselen, in voorkomend geval ook met de marktdeelnemers, om inbreuken in verband met persoonsgegevens als gevolg van incidenten aan te pakken overeenkomstig de toepasselijke voorschriften op het gebied van gegevensbescherming. Aan de verplichting om beveiligingsincidenten te melden, moet worden voldaan op een wijze die de administratieve lasten minimaliseert wanneer het beveiligingsincident ook een inbreuk in verband met persoonsgegevens vormt die gemeld moet worden overeenkomstig de Uniewetgeving inzake gegevensbescherming. ENISA dient bijstand te verlenen door informatie-uitwisselingsmechanismen en een eenvormig meldingsmodel te ontwikkelen dat de rapportage van incidenten die persoonsgegevens aantasten, zou faciliteren en zo de administratieve lasten voor bedrijven en overheden zou verlichten.
Amendement  32 Voorstel voor een richtlijn Overweging 32
Door de Commissie voorgestelde tekst	Amendement
(32) De normalisatie van beveiligingseisen is een marktgestuurd proces. Met het oog op een eenvormige toepassing van beveiligingsnormen, moeten de lidstaten naleving van of afstemming op specifieke normen aanmoedigen om een hoog beveiligingsniveau op het niveau van de Unie te waarborgen. Daartoe kan het nodig zijn geharmoniseerde normen op te stellen, hetgeen moet gebeuren overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad29.	(32) De normalisatie van beveiligingseisen is een marktgestuurd proces met een vrijwillig karakter dat de marktdeelnemers in staat moet stellen alternatieve middelen in te zetten voor het bereiken van ten minste vergelijkbare resultaten. Met het oog op een eenvormige toepassing van beveiligingsnormen, moeten de lidstaten naleving van of afstemming op specifieke interoperabele normen aanmoedigen om een hoog beveiligingsniveau op het niveau van de Unie te waarborgen. Daartoe moet worden overwogen om open internationale normen voor de beveiliging van netwerkinformatie toe te passen of om dergelijke instrumenten te ontwerpen. Verder kan het om vooruit te komen nodig zijn geharmoniseerde normen op te stellen, hetgeen moet gebeuren overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad29. Met name ETSI, CEN en CENELEC moeten een mandaat krijgen om effectieve en efficiënte open beveiligingsnormen voor de Unie voor te stellen, waarbij technologische voorkeuren zoveel mogelijk moeten worden vermeden, en deze normen dienen eenvoudig hanteerbaar te zijn voor kleine en middelgrote marktdeelnemers. Internationale normen in verband met de cyberveiligheid moeten zorgvuldig tegen het licht worden gehouden om te waarborgen dat ze geen risico vormen en zorgen voor een afdoende beveiligingsniveau, en derhalve garanderen dat door de vereiste naleving van de cyberbeveiligingsnormen het totale cyberbeveiligingsniveau van de Unie stijgt en niet het tegenovergestelde gebeurt.
__________________	__________________
29 PB L 316 van 14.11.2012, blz. 12.	29 PB L 316 van 14.11.2012, blz. 12.
Amendement  33 Voorstel voor een richtlijn Overweging 33
Door de Commissie voorgestelde tekst	Amendement
(33) De Commissie moet deze richtlijn op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende technologische omstandigheden of marktomstandigheden moeten worden gewijzigd.	(33) De Commissie moet deze richtlijn in overleg met alle belanghebbenden op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende maatschappelijke, politieke, technologische of marktomstandigheden moet worden gewijzigd.
Amendement  34 Voorstel voor een richtlijn Overweging 34
Door de Commissie voorgestelde tekst	Amendement
(34) Teneinde de soepele werking van het samenwerkingsnetwerk mogelijk te maken, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met het oog op het bepalen van de criteria die een lidstaat moet nakomen bij zijn deelname aan het beveiligde informatie-uitwisselingssysteem, alsmede met het oog op de verdere omschrijving van de gebeurtenissen die tot vroegtijdige waarschuwing leiden en de bepaling van de omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden.	(34) Teneinde de soepele werking van het samenwerkingsnetwerk mogelijk te maken, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen inzake het gemeenschappelijke pakket interconnectie- en beveiligingsnormen voor de beveiligde informatie-uitwisselingsinfrastructuur en de verdere omschrijving van de gebeurtenissen die tot vroegtijdige waarschuwing leiden.
Amendement  35 Voorstel voor een richtlijn Overweging 36
Door de Commissie voorgestelde tekst	Amendement
(36) Om uniforme voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden verleend met betrekking tot de samenwerking tussen de bevoegde autoriteiten en de Commissie in het samenwerkingsnetwerk, de toegang tot de beveiligde informatie-uitwisselingsinfrastructuur, het NIB-samenwerkingsplan van de Unie, de formaten en procedures om het publiek in te lichten over incidenten, en de voor NIB relevante normen en/of technische specificaties. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren.	(36) Om uniforme voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden verleend met betrekking tot de samenwerking tussen de contactpunten en de Commissie in het samenwerkingsnetwerk, onverminderd op nationaal niveau bestaande samenwerkingsmechanismen, het NIB-samenwerkingsplan van de Unie en de formaten en procedures voor het melden van incidenten met een aanzienlijke impact. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren.
Motivering
Dit amendement vervangt amendement 20. Het amendement beoogt een fout in het voorstel van de Commissie met betrekking tot de inhoud van de beoogde uitvoeringshandeling te corrigeren, en sluit aan bij het nieuwe amendement op artikel 9, lid 3.
Amendement  36 Voorstel voor een richtlijn Overweging 37
Door de Commissie voorgestelde tekst	Amendement
(37) Bij de toepassing van deze richtlijn moet de Commissie waar passend contacten onderhouden met de relevante sectorale comités en de op EU-niveau opgerichte relevante organen, met name op het gebied van energie, vervoer en gezondheid.	(37) Bij de toepassing van deze richtlijn moet de Commissie waar passend contacten onderhouden met de relevante sectorale comités en de op Unieniveau opgerichte relevante organen, met name op het gebied van e-overheid, energie, vervoer, gezondheid en defensie.
Amendement  37 Voorstel voor een richtlijn Overweging 38
Door de Commissie voorgestelde tekst	Amendement
(38) Informatie die door een bevoegde autoriteit overeenkomstig de uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, mag uitsluitend met de Commissie en andere bevoegde autoriteiten worden uitgewisseld wanneer die uitwisseling strikt noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie moet beperkt zijn tot hetgeen relevant is voor en evenredig met het doel van een dergelijke uitwisseling.	(38) Informatie die door een bevoegde autoriteit of een contactpunt overeenkomstig de uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, mag uitsluitend met de Commissie, haar relevante agentschappen, contactpunten en/of andere nationale bevoegde autoriteiten worden uitgewisseld wanneer die uitwisseling strikt noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie moet beperkt zijn tot hetgeen relevant en noodzakelijk is voor en evenredig met het doel van een dergelijke uitwisseling, met inachtneming van vooraf vastgestelde criteria voor vertrouwelijkheid en beveiliging overeenkomstig Besluit 2011/292/EU van de Raad van 31 maart 2011 betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie, en informatie waarop geheimhoudingsovereenkomsten of informele geheimhoudingsovereenkomsten van toepassing zijn, zoals het verkeerslichtprotocol.
Amendement  38 Voorstel voor een richtlijn Overweging 39
Door de Commissie voorgestelde tekst	Amendement
(39) Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten, kan het nodig zijn persoonsgegevens te verwerken. Zulke verwerking van persoonsgegevens is noodzakelijk ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang en is dus gerechtvaardigd uit hoofde van artikel 7 van Richtlijn 95/46/EG. Zij vormt, met betrekking tot deze gerechtvaardigde doelen, geen onevenredige en onduldbare ingreep waardoor het recht op de door artikel 8 van het Handvest van grondrechten gewaarborgde bescherming van persoonsgegevens in zijn kern wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie van toepassing zijn. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.	(39) Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten of het nationale contactpunt, kan het nodig zijn persoonsgegevens te verwerken. Zulke verwerking van persoonsgegevens is noodzakelijk ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang en is dus gerechtvaardigd uit hoofde van artikel 7 van Richtlijn 95/46/EG. Zij vormt, met betrekking tot deze gerechtvaardigde doelen, geen onevenredige en onduldbare ingreep waardoor het recht op de door artikel 8 van het Handvest van grondrechten gewaarborgde bescherming van persoonsgegevens in zijn kern wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie van toepassing zijn. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.
Amendement  39 Voorstel voor een richtlijn Overweging 41 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(41 bis) Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken hebben de lidstaten zich ertoe verbonden om, indien zulks gerechtvaardigd is, de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van een of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsteksten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van dergelijke stukken gerechtvaardigd.
Amendement  40 Voorstel voor een richtlijn Artikel 1 – lid 2 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;	(b) de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde, efficiënte en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen, met de participatie van de betrokken partijen;
Amendement  41 Voorstel voor een richtlijn Artikel 1 – lid 2 – letter c
Door de Commissie voorgestelde tekst	Amendement
(c) de vaststelling van beveiligingseisen voor marktdeelnemers en overheden.	(c) de vaststelling van beveiligingseisen voor marktdeelnemers.
Amendement  42 Voorstel voor een richtlijn Artikel 1 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Deze richtlijn laat Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie alsmede de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, eveneens onverlet.	5. Deze richtlijn laat Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie alsmede Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, eveneens onverlet. Het gebruik van de persoonsgegevens blijft beperkt tot hetgeen strikt noodzakelijk is voor de toepassing van deze richtlijn, en die gegevens moeten zo anoniem mogelijk, zo al niet volledig anoniem zijn.
Amendement  43 Voorstel voor een richtlijn Artikel 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	Artikel 1 bis
	Bescherming en verwerking van persoonsgegevens
	1. De verwerking van persoonsgegevens in de lidstaten krachtens deze richtlijn wordt uitgevoerd in overeenstemming met Richtlijn 95/46/EG en Richtlijn 2002/58/EG.
	2. De verwerking van persoonsgegevens door de Commissie en ENISA krachtens deze richtlijn wordt uitgevoerd in overeenstemming met Verordening (EG) nr. 45/2001.
	3. De verwerking van persoonsgegevens door het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol voor de toepassing van deze richtlijn wordt uitgevoerd krachtens Besluit 2009/371/JBZ.
	4. De verwerking van persoonsgegevens verloopt eerlijk en rechtmatig en blijft strikt beperkt tot het minimum aan gegevens dat nodig is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt. Deze worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
	5. Meldingen van incidenten als bedoeld in artikel 14 laten de bepalingen en verplichtingen inzake de melding van inbreuken in verband met persoonsgegevens zoals uiteengezet in artikel 4 van Richtlijn 2002/58/EG en in Verordening (EU) nr. 611/2013 onverlet.
Amendement  44 Voorstel voor een richtlijn Artikel 3 – punt 1 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, computergegevens automatisch verwerkt of verwerken; alsook (b) een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, digitale gegevens automatisch verwerkt of verwerken; alsook
Amendement  45 Voorstel voor een richtlijn Artikel 3 – punt 1 – letter c
Door de Commissie voorgestelde tekst	Amendement
(c) computergegevens die met onder a) en b) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.	(c) digitale gegevens die met onder a) en b) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.
Amendement  46 Voorstel voor een richtlijn Artikel 3 – punt 2
Door de Commissie voorgestelde tekst	Amendement
(2) "beveiliging": het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen;	(2) "beveiliging": het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen; "beveiliging" omvat passende technische apparaten, oplossingen en exploitatieprocedures ter waarborging van de naleving van de in deze richtlijn vastgelegde beveiligingseisen;
Amendement  47 Voorstel voor een richtlijn Artikel 3 – punt 3
Door de Commissie voorgestelde tekst	Amendement
(3) "risico": elke omstandigheid of gebeurtenis met een mogelijk schadelijk effect op de beveiliging;	(3) "risico": elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijk schadelijk effect op de beveiliging;
Amendement  48 Voorstel voor een richtlijn Artikel 3 – punt 4
Door de Commissie voorgestelde tekst	Amendement
(4) "incident": elke omstandigheid of gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging;	(4) "incident": elke gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging;
Amendement  49 Voorstel voor een richtlijn Artikel 3 – punt 5
Door de Commissie voorgestelde tekst	Amendement
(5) "dienst van de informatiemaatschappij": een dienst in de zin van artikel 1, punt 2, van Richtlijn 98/34/EG;	Schrappen
Amendement  50 Voorstel voor een richtlijn Artikel 3 – punt 7
Door de Commissie voorgestelde tekst	Amendement
(7) "incidentenbehandeling": alle procedures ter ondersteuning van de analyse en beheersing van en reactie op een incident;	(7) "incidentenbehandeling": alle procedures ter ondersteuning van de opsporing, preventie, analyse en beheersing van en reactie op een incident;
Amendement  51 Voorstel voor een richtlijn Artikel 3 – punt 8 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) een aanbieder van diensten van de informatiemaatschappij die de verlening van andere diensten van de informatiemaatschappij mogelijk maken; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;	Schrappen
Amendement  52 Voorstel voor een richtlijn Artikel 3 – punt 8 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen en gezondheid; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;	(b) een exploitant van infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, infrastructuur voor de financiële markt, internetverdeelpunten, de voedselvoorzieningsketen en gezondheid, en waarvan de verstoring of vernietiging een aanzienlijke impact in een lidstaat zou hebben als gevolg van het niet in stand houden van die functies, waarvan een niet-exhaustieve lijst is opgenomen in bijlage II, voor zover de betreffende netwerk- en informatiesystemen verband houden met zijn kerndiensten;
Amendement  53 Voorstel voor een richtlijn Artikel 3 – punt 8 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(8 bis) "incident met een aanzienlijke impact": een incident dat de beveiliging en continuïteit van een informatienetwerk of -systeem aantast en tot ernstige verstoring van vitale economische of maatschappelijke functies leidt;
Amendement  54 Voorstel voor een richtlijn Artikel 3 – punt 11 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 bis) "gereglementeerde markt": een gereglementeerde markt in de zin van artikel 4, punt 14, van Richtlijn 2004/39/EG van het Europees Parlement en de Raad1bis;
	________________
	1bis Richtlijn 2004/39/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende markten voor financiële instrumenten (PB L 45 van 16.2.2005, blz. 18).
Motivering
Aanpassing van de definitie aan de nog aan te nemen verordening van het Europees Parlement en de Raad betreffende markten in financiële instrumenten en tot wijziging van Verordening [EMIR] betreffende otc-derivaten, centrale tegenpartijen en transactieregisters.
Amendement  55 Voorstel voor een richtlijn Artikel 3 – punt 11 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 ter) "multilaterale handelsfaciliteit (MTF)": een multilaterale handelsfaciliteit in de zin van artikel 4, punt 15, van Richtlijn 2004/39/EG;
Motivering
Aanpassing van de definitie aan de nog aan te nemen verordening van het Europees Parlement en de Raad betreffende markten in financiële instrumenten en tot wijziging van Verordening [EMIR] betreffende otc-derivaten, centrale tegenpartijen en transactieregisters.
Amendement  56 Voorstel voor een richtlijn Artikel 3 – punt 11 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 quater) "georganiseerde handelsfaciliteit": een door een beleggingsonderneming of een marktexploitant geëxploiteerd multilateraal systeem of faciliteit, anders dan een gereglementeerde markt, een multilaterale handelsfaciliteit of een centrale tegenpartij, waarin meerdere koop- en verkoopintenties van derden met betrekking tot obligaties, gestructureerde financiële producten, emissierechten of derivaten op zodanige wijze met elkaar in contact kunnen komen dat er een overeenkomst uit voortvloeit overeenkomstig titel II van Richtlijn 2004/39/EG;
Motivering
Opneming van een definitie die aansluit bij en afhankelijk is van het resultaat van de nog aan te nemen verordening van het Europees Parlement en de Raad betreffende markten in financiële instrumenten en tot wijziging van Verordening [EMIR] betreffende otc-derivaten, centrale tegenpartijen en transactieregisters.
Amendement  57 Voorstel voor een richtlijn Artikel 5 – lid 1 – letter e bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(e bis) De lidstaten kunnen ENISA om bijstand vragen bij de ontwikkeling van hun nationale NIB-strategie en nationaal NIB-samenwerkingsplan aan de hand van een gemeenschappelijke minimale NIB-strategie.
Amendement  58 Voorstel voor een richtlijn Artikel 5 – lid 2 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) een risicobeoordelingsplan om risico's te vast te stellen en de impact van mogelijke incidenten te beoordelen;	(a) een risicobeheerskader tot vaststelling van een methode voor de identificering, prioritering, evaluatie en behandeling van risico's, de beoordeling van de impact van mogelijke incidenten, preventie- en beheersingsopties, en tot vaststelling van criteria voor de keuze van mogelijke tegenmaatregelen;
Motivering
Dit amendement vervangt amendement 29. Het voorstel van de Commissie zou te verstrekkende gevolgen hebben voor de nationale beveiligingsvraagstukken van de lidstaten en zou het samenwerkingsplan onuitvoerbaar en te ingewikkeld maken om doeltreffend te zijn.
Amendement  59 Voorstel voor een richtlijn Artikel 5 – lid 2 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) de omschrijving van de taken en verantwoordelijkheden van de verscheidene actoren die bij de uitvoering van het plan betrokken zijn;	(b) de omschrijving van de taken en verantwoordelijkheden van de verscheidene autoriteiten en andere actoren die bij de uitvoering van het kader betrokken zijn;
Amendement  60 Voorstel voor een richtlijn Artikel 5 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De nationale NIB-strategie en het nationale NIB-samenwerkingsplan worden binnen een maand na de vaststelling ervan aan de Commissie toegezonden.	3. De nationale NIB-strategie en het nationale NIB-samenwerkingsplan worden binnen drie maanden na de vaststelling ervan aan de Commissie toegezonden.
Amendement  61 Voorstel voor een richtlijn Artikel 6 – titel
Door de Commissie voorgestelde tekst	Amendement
Nationale autoriteit voor de beveiliging van netwerk- en informatiesystemen	Nationale bevoegde autoriteiten en nationaal contactpunt voor de beveiliging van netwerk- en informatiesystemen
Amendement  62 Voorstel voor een richtlijn Artikel 6 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat wijst een voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale autoriteit (de "bevoegde autoriteit") aan.	1. Elke lidstaat wijst een of meer voor de beveiliging van netwerk- en informatiesystemen bevoegde civiele nationale autoriteiten (hierna "bevoegde autoriteit/autoriteiten" genoemd) aan.
Motivering
Dit amendement vervangt amendement 32 en beoogt nader te specificeren welk type instelling moet optreden als bevoegde nationale autoriteit.
Amendement  63 Voorstel voor een richtlijn Artikel 6 – lid 2 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 bis. Indien een lidstaat meer dan een bevoegde autoriteit aanwijst, wijst hij een nationale civiele autoriteit, bijvoorbeeld een bevoegde autoriteit, aan als nationaal uniek contactpunt voor de beveiliging van netwerk- en informatiesystemen (hierna "contactpunt" genoemd). Indien een lidstaat slechts één bevoegde autoriteit aanwijst, is die bevoegde autoriteit tevens het contactpunt.
Motivering
Dit amendement vervangt amendement 33 en sluit aan op het nieuwe amendement van de rapporteur op artikel 6, lid 1. Het amendement beoogt nader te specificeren welk type instelling moet optreden als uniek contactpunt.
Amendement  64 Voorstel voor een richtlijn Artikel 6 – lid 2 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 ter. De bevoegde autoriteiten en het contactpunt van een en dezelfde lidstaat werken nauw samen met betrekking tot de in deze richtlijn vastgestelde verplichtingen.
Amendement  65 Voorstel voor een richtlijn Artikel 6 – lid 2 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 quater. Het contactpunt waarborgt de grensoverschrijdende samenwerking met de andere contactpunten.
Amendement  66 Voorstel voor een richtlijn Artikel 6 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de nodige technische, financiële en personele middelen beschikken om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken. De lidstaten zorgen ervoor dat de bevoegde autoriteiten op doeltreffende, efficiënte en veilige wijze samenwerken middels het in artikel 8 bedoelde netwerk.	3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten over de nodige technische, financiële en personele middelen beschikken om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken. De lidstaten zorgen ervoor dat de contactpunten op doeltreffende, efficiënte en veilige wijze samenwerken middels het in artikel 8 bedoelde netwerk.
Amendement  67 Voorstel voor een richtlijn Artikel 6 – lid 4
Door de Commissie voorgestelde tekst	Amendement
4. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de meldingen van incidenten van overheden en marktdeelnemers ontvangen overeenkomstig artikel 14, lid 2, en dat hun de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden worden verleend.	4. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten, indien van toepassing overeenkomstig lid 2 bis van dit artikel, de meldingen van incidenten van marktdeelnemers ontvangen overeenkomstig artikel 14, lid 2, en dat hun de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden worden verleend.
Motivering
Dit amendement vervangt amendement 37 en beoogt helderheid te verschaffen over de rol van de verschillende autoriteiten om dubbele meldingen aan de bevoegde autoriteiten en de contactpunten te voorkomen. Aangezien incidenten in sommige sectoren al worden gemeld aan EU-instanties moeten dubbele meldingen moeten voorkomen.
Amendement  68 Voorstel voor een richtlijn Artikel 6 – lid 4 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	4 bis. Wanneer het Unierecht voorziet in een sectorspecifieke toezichthoudende of regelgevende EU-instantie, onder meer met betrekking tot de beveiliging van netwerk- en informatiesystemen, ontvangt die instantie de meldingen van incidenten overeenkomstig artikel 14, lid 2, van de betrokken marktdeelnemers in die sector en krijgt de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden. Deze EU-instantie werkt wat betreft die verplichtingen nauw samen met de bevoegde autoriteiten en het contactpunt van de lidstaat van ontvangst. Het contactpunt van de lidstaat van ontvangst vertegenwoordigt de instantie van de Unie wat betreft de in hoofdstuk III bedoelde verplichtingen.
Amendement  69 Voorstel voor een richtlijn Artikel 6 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Indien nodig raadplegen de bevoegde autoriteiten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen.	5. Indien nodig raadplegen de bevoegde autoriteiten en contactpunten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen.
Amendement  70 Voorstel voor een richtlijn Artikel 6 – lid 6
Door de Commissie voorgestelde tekst	Amendement
6. Elke lidstaat stelt de Commissie onverwijld in kennis van de aanstelling van de bevoegde autoriteit, van haar taken, en van elke latere wijziging daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteit openbaar.	6. Elke lidstaat stelt de Commissie onverwijld in kennis van de aanwijzing van de bevoegde autoriteiten en het contactpunt, van hun taken, en van elke latere wijziging daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteiten openbaar.
Amendement  71 Voorstel voor een richtlijn Artikel 7 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat zet een computercrisisteam ("Computer Emergency Response Team", hierna "CERT") op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit.	1. Elke lidstaat zet ten minste één computercrisisteam ("Computer Emergency Response Team", hierna "CERT") voor elk van de in bijlage II genoemde sectoren op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit.
Amendement  72 Voorstel voor een richtlijn Artikel 7 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Het CERT oefent zijn taken uit onder toezicht van de bevoegde autoriteit, die regelmatig de adequaatheid van de middelen, het mandaat en de doeltreffendheid van de incidentenbehandelingsprocedure ervan evalueert.	5. De CERT’s oefenen hun taken uit onder toezicht van de bevoegde autoriteit of het contactpunt, die/dat regelmatig de adequaatheid van de middelen en het mandaat van de CERT's en de doeltreffendheid van hun incidentenbehandelingsprocedure evalueert.
Amendement  73 Voorstel voor een richtlijn Artikel 7 – lid 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 bis. De lidstaten zorgen ervoor dat de CERT’s over passende personele en financiële middelen beschikken om actief deel te nemen in internationale en met name uniale samenwerkingsnetwerken.
Amendement  74 Voorstel voor een richtlijn Artikel 7 – lid 5 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 ter. De CERT's worden in staat gesteld en aangemoedigd tot het organiseren van en deelnemen aan gezamenlijke oefeningen met andere CERT's, met de CERT's van alle lidstaten en met passende instellingen van niet-lidstaten, alsook met de CERT's van multi- en internationale instellingen, zoals de NAVO en de VN.
Amendement  75 Voorstel voor een richtlijn Artikel 7 – lid 5 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 quater. De lidstaten kunnen ENISA of andere lidstaten om bijstand vragen bij de ontwikkeling van hun nationale CERT's.
Amendement  76 Voorstel voor een richtlijn Artikel 8 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De bevoegde autoriteiten en de Commissie vormen een netwerk ("samenwerkingsnetwerk") om samen op te treden tegen risico's en incidenten met betrekking tot netwerk- en informatiesystemen.	1. De contactpunten, de Commissie en ENISA vormen een netwerk (hierna "samenwerkingsnetwerk" genoemd) om samen op te treden tegen risico's en incidenten met betrekking tot netwerk- en informatiesystemen.
Amendement 77 Voorstel voor een richtlijn Artikel 8 – lid 2
Door de Commissie voorgestelde tekst	Amendement
2. Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de bevoegde autoriteiten tot stand. Het Europees Agentschap voor netwerk- en informatiebeveiliging ("ENISA") staat het samenwerkingsnetwerk op verzoek bij met zijn deskundigheid en advies.	2. Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de contactpunten tot stand. ENISA staat het samenwerkingsnetwerk op verzoek bij met zijn deskundigheid en advies. In voorkomend geval kunnen ook marktdeelnemers en aanbieders van cyberbeveiligingsdiensten worden uitgenodigd om deel te nemen aan de in lid 3, onder g) en i), bedoelde activiteiten van het samenwerkingsnetwerk.
	Waar dit relevant is, werkt het samenwerkingsnetwerk samen met de gegevensbeschermingsautoriteiten.
	De Commissie stelt het samenwerkingsnetwerk regelmatig op de hoogte van het beveiligingsonderzoek en andere relevante programma's in het kader van Horizon 2020.
Amendement  78 Voorstel voor een richtlijn Artikel 8 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. Binnen het samenwerkingsnetwerk doen de bevoegde autoriteiten het volgende:	3. Binnen het samenwerkingsnetwerk doen de contactpunten het volgende:
(a) zij verspreiden vroegtijdige waarschuwingen over risico's en incidenten overeenkomstig artikel 10;	(a) zij verspreiden vroegtijdige waarschuwingen over risico's en incidenten overeenkomstig artikel 10;
(b) zij zorgen voor een gecoördineerde reactie overeenkomstig artikel 11;	(b) zij zorgen voor een gecoördineerde reactie overeenkomstig artikel 11;
(c) zij maken regelmatig niet-vertrouwelijke informatie over vroegtijdige waarschuwingen en gecoördineerde reacties die op dat moment worden verspreid of aan de gang zijn, bekend op een gemeenschappelijke website.	(c) zij maken regelmatig niet-vertrouwelijke informatie over vroegtijdige waarschuwingen en gecoördineerde reacties die op dat moment worden verspreid of aan de gang zijn, bekend op een gemeenschappelijke website.
(d) zij bespreken en beoordelen gezamenlijk, op verzoek van een lidstaat of van de Commissie, een of meer in artikel 5 bedoelde nationale NIB-strategieën en nationale NIB-samenwerkingsplannen, binnen het toepassingsgebied van deze richtlijn.	(d) zij bespreken en beoordelen gezamenlijk een of meer in artikel 5 bedoelde nationale NIB-strategieën en nationale NIB-samenwerkingsplannen, binnen het toepassingsgebied van deze richtlijn;
(e) zij bespreken en beoordelen gezamenlijk, op verzoek van een lidstaat of van de Commissie, de doeltreffendheid van de CERT's, met name wanneer er NIB-oefeningen worden verricht op het niveau van de Unie;	(e) zij bespreken en beoordelen gezamenlijk de doeltreffendheid van de CERT's, met name wanneer er NIB-oefeningen worden verricht op het niveau van de Unie;
(f) zij werken samen met en wisselen informatie over alle relevante kwesties uit met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol, en met andere relevante Europese instanties, met name op het gebied van gegevensbescherming, energie, vervoer, bankieren, effectenbeurzen en gezondheid;	(f) zij werken samen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol, en met andere relevante Europese instanties en wisselen met deze instanties expertise uit over relevante kwesties betreffende netwerk- en informatiebeveiliging, met name op het gebied van gegevensbescherming, energie, vervoer, bankieren, financiële markten en gezondheid;
	(f bis) zij informeren, waar dit passend is, door middel van verslaglegging de EU-coördinator voor terrorismebestrijding, en zij kunnen verzoeken om bijstand met het oog op de analyses, de voorbereidende werkzaamheden en het optreden van het samenwerkingsnetwerk;
(g) zij wisselen onderling en met de Commissie beste praktijken uit en verlenen elkaar bijstand bij het opbouwen van capaciteit op het gebied van NIB;	(g) zij wisselen onderling en met de Commissie beste praktijken uit en verlenen elkaar bijstand bij het opbouwen van capaciteit op het gebied van NIB;
(h) zij organiseren regelmatig collegiale toetsingen met betrekking tot capaciteit en paraatheid;
(i) zij organiseren NIB-oefeningen op het niveau van de Unie en nemen indien passend deel aan internationale NIB-oefeningen.	(i) zij organiseren NIB-oefeningen op het niveau van de Unie en nemen indien passend deel aan internationale NIB-oefeningen;
	(i bis) zij streven naar de betrokkenheid van de marktdeelnemers, raadplegen hen en wisselen, waar dat dienstig is, informatie met hen uit over de risico's en de incidenten die hun netwerk- en informatiesystemen treffen;
	(i ter) zij ontwikkelen samen met ENISA richtsnoeren voor sectorspecifieke criteria voor de melding van incidenten met een aanzienlijke impact, in aanvulling op de in artikel 14, lid 2, vastgestelde parameters, ten behoeve van een gemeenschappelijke interpretatie, consistente toepassing en harmonieuze uitvoering binnen de Unie.
Amendement  79 Voorstel voor een richtlijn Artikel 8 – lid 3 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	3 bis. Het samenwerkingsnetwerk publiceert eenmaal per jaar een verslag dat gebaseerd is op de activiteiten van het netwerk en het overeenkomstig artikel 14, lid 4, ingediende samenvattende verslag over de afgelopen twaalf maanden.
Amendement  80 Voorstel voor een richtlijn Artikel 8 – lid 4
Door de Commissie voorgestelde tekst	Amendement
4. De Commissie stelt, door middel van uitvoeringshandelingen, de nodige maatregelen vast om de in de leden 2 en 3 bedoelde samenwerking tussen de bevoegde autoriteiten en de Commissie te faciliteren. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 19, lid 2, bedoelde raadplegingsprocedure.	4. De Commissie stelt, door middel van uitvoeringshandelingen, de nodige maatregelen vast om de in de leden 2 en 3 bedoelde samenwerking tussen de contactpunten, de Commissie en ENISA te faciliteren. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure.
Amendement  81 Voorstel voor een richtlijn Artikel 9 – lid 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	1 bis. De deelnemers aan de uitwisseling via de beveiligde infrastructuur nemen tijdens alle fasen van de verwerking o.a. passende vertrouwelijkheids- en beveiligingsmaatregelen overeenkomstig Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 in acht.
Amendement  82 Voorstel voor een richtlijn Artikel 9 – lid 2
Door de Commissie voorgestelde tekst	Amendement
2. De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handelingen vast te stellen met betrekking tot de bepaling van de criteria die een lidstaat moet nakomen om aan het beveiligde informatie-uitwisselingsnetwerk te mogen deelnemen, wat betreft:	Schrappen
(a) de beschikbaarheid van beveiligde en veerkrachtige communicatie- en informatie-infrastructuur op nationaal niveau, die overeenkomstig artikel 7, lid 3, compatibel en interoperabel is met de beveiligde infrastructuur van het samenwerkingsnetwerk; en
(b) de aanwezigheid krachtens artikel 6, lid 3, artikel 7, lid 2, en artikel 7, lid 3, van de nodige technische, financiële en personele middelen en processen voor hun bevoegde autoriteit en CERT, om op doeltreffende, efficiënte en veilige wijze aan het beveiligde informatie-uitwisselingssysteem te kunnen deelnemen.
Amendement  83 Voorstel voor een richtlijn Artikel 9 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De Commissie stelt, door middel van uitvoeringshandelingen, besluiten inzake de toegang van de lidstaten tot deze beveiligde infrastructuur vast, krachtens de in de leden 2 en 3 bedoelde criteria. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.	3. De Commissie stelt, door middel van gedelegeerde handelingen, een gemeenschappelijk pakket interconnectie- en beveiligingsnormen vast waar de contactpunten aan moeten voldoen voordat zij gevoelige en vertrouwelijke informatie mogen uitwisselen binnen het samenwerkingsnetwerk.
Amendement  84 Voorstel voor een richtlijn Artikel 10 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De bevoegde autoriteiten of de Commissie geven binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over risico's en incidenten die aan ten minste een van de volgende voorwaarden voldoen:	1. De contactpunten of de Commissie geven binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over risico's en incidenten die aan ten minste een van de volgende voorwaarden voldoen:
(a) zij nemen snel in omvang toe of kunnen snel in omvang toenemen;
(b) zij gaan de nationale reactiecapaciteit te boven of kunnen die te boven gaan;	(b) de inschatting van het contactpunt is dat het risico of het incident de nationale reactiecapaciteit mogelijk te boven gaat;
(c) zij treffen meer dan een lidstaat of kunnen meer dan een lidstaat treffen.	(c) de inschatting van de contactpunten of de Commissie is dat het risico of het incident meer dan een lidstaat treft.
Amendement  85 Voorstel voor een richtlijn Artikel 10 – lid 2
Door de Commissie voorgestelde tekst	Amendement
2. De bevoegde autoriteiten en de Commissie doen de vroegtijdige waarschuwingen vergezeld gaan van alle relevante informatie waarover zij beschikken die nuttig kan zijn voor de beoordeling van het risico of incident.	2. De contactpunten en de Commissie doen de vroegtijdige waarschuwingen onverwijld vergezeld gaan van alle relevante informatie waarover zij beschikken die nuttig kan zijn voor de beoordeling van het risico of incident.
Amendement  86 Voorstel voor een richtlijn Artikel 10 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De Commissie kan op verzoek van een lidstaat of op eigen initiatief een lidstaat verzoeken relevante informatie te verstrekken over een specifiek risico of incident.	Schrappen
Amendement  87 Voorstel voor een richtlijn Artikel 10 – lid 4
Door de Commissie voorgestelde tekst	Amendement
4. Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van criminele aard is, stellen de bevoegde autoriteiten of de Commissie het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol in kennis.	4. Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van ernstige criminele aard is, en wanneer de betreffende marktdeelnemer melding heeft gedaan van in artikel 15, lid 4, bedoelde incidenten waarvan wordt vermoed dat zij van ernstig criminele aard zijn, zorgen de lidstaten ervoor dat het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol in voorkomend geval in kennis wordt gesteld.
Amendement  88 Voorstel voor een richtlijn Artikel 10 – lid 4 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	4 bis. De leden van het samenwerkingsnetwerk maken informatie over risico’s en incidenten zoals bedoeld in lid 1 alleen openbaar na voorafgaande toestemming daartoe van het contactpunt waarvan zij die informatie hebben ontvangen.
	Bovendien stelt het kennisgevende contactpunt, voorafgaand aan het delen van informatie in het samenwerkingsnetwerk, de marktdeelnemer op wie de informatie betrekking heeft op de hoogte van zijn voornemen en maakt het, wanneer het dit passend acht, de informatie anoniem.
Amendement  89 Voorstel voor een richtlijn Artikel 10 – lid 4 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	4 ter. Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van ernstige grensoverschrijdende technische aard is, stellen de contactpunten of de Commissie ENISA in kennis.
Amendement  90 Voorstel voor een richtlijn Artikel 11 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Na een in artikel 10 bedoelde vroegtijdige waarschuwing komen de bevoegde autoriteiten, na de relevante informatie te hebben beoordeeld, een gecoördineerde reactie overeen overeenkomstig het in artikel 12 bedoelde NIB-plan van de Unie.	1. Na een in artikel 10 bedoelde vroegtijdige waarschuwing komen de contactpunten, na de relevante informatie te hebben beoordeeld, onverwijld een gecoördineerde reactie overeen overeenkomstig het in artikel 12 bedoelde NIB-plan van de Unie.
Amendement  91 Voorstel voor een richtlijn Artikel 12 – lid 2 – letter a – streepje 1
Door de Commissie voorgestelde tekst	Amendement
– een bepaling van het formaat en de procedures voor de vergaring en de uitwisseling van compatibele en vergelijkbare informatie over risico's en incidenten door de bevoegde autoriteiten;	een bepaling van het formaat en de procedures voor de vergaring en de uitwisseling van compatibele en vergelijkbare informatie over risico's en incidenten door de contactpunten;
Amendement  92 Voorstel voor een richtlijn Artikel 12 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. Het NIB-samenwerkingsplan van de Unie wordt uiterlijk een jaar na de inwerkingtreding van deze richtlijn vastgesteld en wordt regelmatig getoetst.	3. Het NIB-samenwerkingsplan van de Unie wordt uiterlijk een jaar na de inwerkingtreding van deze richtlijn vastgesteld en wordt regelmatig getoetst. De resultaten van iedere toetsing worden aan het Europees Parlement meegedeeld.
Amendement  93 Voorstel voor een richtlijn Artikel 12 – lid 3 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	3 bis. De samenhang tussen het NIB-samenwerkingsplan van de Unie en de nationale NIB-strategieën en ‑samenwerkingsplannen, zoals bedoeld in artikel 5 van deze richtlijn, wordt gewaarborgd.
Amendement  94 Voorstel voor een richtlijn Artikel 13 – lid 1
Door de Commissie voorgestelde tekst	Amendement
Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenweringsnetwerk mogelijk wordt gemaakt en georganiseerd. Zulke overeenkomsten houden rekening met de noodzaak om afdoende bescherming te waarborgen van de persoonsgegevens die in het samenwerkingsnetwerk circuleren.	Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenwerkingsnetwerk mogelijk wordt gemaakt en georganiseerd. In zulke overeenkomsten wordt rekening gehouden met de noodzaak om afdoende bescherming te waarborgen van de persoonsgegevens die in het samenwerkingsnetwerk circuleren, en wordt de controleprocedure beschreven die moet worden gevolgd om de bescherming van die persoonsgegevens te waarborgen. Het Europees Parlement wordt in kennis worden gesteld van de onderhandelingen over de overeenkomsten. De overdracht van persoonsgegevens aan ontvangers in landen buiten de Unie vindt plaats overeenkomstig de artikelen 25 en 26 van Richtlijn 95/46/EG en artikel 9 van Verordening (EG) nr. 45/2001.
Amendement  95 Voorstel voor een richtlijn Artikel 13 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	Artikel 13 bis
	Niveau van kriticiteit van marktdeelnemers
	De lidstaten kunnen het niveau van kriticiteit van marktdeelnemers vaststellen, rekening houdend met de specifieke kenmerken van de sectoren, parameters waaronder het belang van een bepaalde marktdeelnemer voor het voldoende op peil houden van de sectorale dienstverlening, het aantal partijen dat door de marktdeelnemer wordt bediend en hoe lang het duurt voordat de onderbreking van de kerndiensten van de marktdeelnemer negatieve gevolgen heeft voor de handhaving van vitale economische en maatschappelijke activiteiten.
Motivering
Dit amendement maakt deel uit van hoofdstuk IV en moet voorafgaan aan artikel 14 daarvan. Dit artikel beoogt een meer gedifferentieerde classificatie van bijlage II, en derhalve van de in hoofdstuk IV vastgestelde verplichtingen, mogelijk te maken. Alle marktdeelnemers, ongeacht hun kriticiteitsniveau, moeten incidenten melden, terwijl de vorm van de beveiligingsaudits kan worden afgestemd op het specifieke niveau van kriticiteit van de marktdeelnemer.
Amendement  96 Voorstel voor een richtlijn Artikel 14 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten zorgen ervoor dat overheden en marktdeelnemers passende technische en organisatorische maatregelen nemen ter beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Deze maatregelen zorgen, rekening houdend met de meest recente technische mogelijkheden, voor een beveiligingsniveau dat is afgestemd op de risico's die zich voordoen. Overheden en marktdeelnemers nemen met name maatregelen om de impact te voorkomen en te minimaliseren van incidenten met betrekking tot hun netwerk- en informatiesysteem op de door hen verleende kerndiensten en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten.	1. De lidstaten zorgen ervoor dat de marktdeelnemers passende en evenredige technische en organisatorische maatregelen nemen met het oog op de opsporing en doeltreffende beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Die maatregelen zorgen, gezien de stand van de techniek, voor een veiligheidsniveau dat is afgestemd op de risico's die zich voordoen. Er worden met name maatregelen genomen om incidenten die de beveiliging van hun netwerk- en informatiesystemen aantasten, te voorkomen en de gevolgen ervan voor de door hen verleende kerndiensten te minimaliseren en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten.
Amendement  97 Voorstel voor een richtlijn Artikel 14 – lid 2
Door de Commissie voorgestelde tekst	Amendement
2. De lidstaten zorgen ervoor dat overheden en marktdeelnemers incidenten met een aanzienlijke impact op de beveiliging van de door hen verleende kerndiensten aan de bevoegde autoriteiten melden.	2. De lidstaten zorgen ervoor dat de marktdeelnemers incidenten met een aanzienlijke impact op de continuïteit van de door hen verleende kerndiensten onverwijld aan de bevoegde autoriteiten of het contactpunt melden. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid.
	Om te bepalen of de impact van een incident aanzienlijk is, worden o.a. de volgende parameters in aanmerking genomen:
Amendement  98 Voorstel voor een richtlijn Artikel 14 – lid 2 – letter a (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(a) het aantal gebruikers bij wie de kerndienst gestoord is;
Amendement  99 Voorstel voor een richtlijn Artikel 14 – lid 2 – letter b (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(b) de duur van het incident;
Amendement  100 Voorstel voor een richtlijn Artikel 14 – lid 2 – letter c (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(c) de omvang van het geografische gebied dat door het incident is getroffen.
Amendement  101 Voorstel voor een richtlijn Artikel 14 – lid 2 – alinea 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	Die parameters worden nader gespecificeerd overeenkomstig artikel 8, lid 3, punt i ter.
Amendement  102 Voorstel voor een richtlijn Artikel 14 – lid 2 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 bis. De marktdeelnemers melden de in de leden 1 en 2 bedoelde incidenten aan de bevoegde autoriteit of het contactpunt in de lidstaat waar de kerndienst gestoord is. Indien de kerndiensten in meer dan een lidstaat zijn gestoord, waarschuwt het contactpunt dat de melding heeft ontvangen, op basis van de door de marktdeelnemer verstrekte informatie de andere betrokken contactpunten. De marktdeelnemer wordt zo snel mogelijk in kennis gesteld van de andere contactpunten die op de hoogte zijn gesteld van het incident, en van de eventueel ondernomen stappen, resultaten en andere voor het incident relevante informatie.
Amendement  103 Voorstel voor een richtlijn Artikel 14 – lid 2 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 ter. Indien de melding persoonsgegevens bevat, worden deze binnen de bevoegde autoriteit of het contactpunt die/dat de melding heeft ontvangen, uitsluitend bekendgemaakt aan de ontvangers die deze gegevens moeten verwerken om hun taken te vervullen overeenkomstig de voorschriften inzake gegevensbescherming. De bekendgemaakte gegevens zijn beperkt tot hetgeen noodzakelijk is voor de vervulling van hun taken.
Amendement  104 Voorstel voor een richtlijn Artikel 14 – lid 2 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 quater. Marktdeelnemers die niet onder bijlage II vallen, kunnen incidenten, als bedoeld in artikel 14, lid 2, vrijwillig melden.
Amendement  105 Voorstel voor een richtlijn Artikel 14 – lid 4
Door de Commissie voorgestelde tekst	Amendement
4. De bevoegde autoriteit kan het publiek informeren of overheden en marktdeelnemers daartoe verplichten wanneer zij oordeelt dat openbaarmaking van het incident in het algemeen belang is. Eenmaal per jaar dient de bevoegde autoriteit bij het samenwerkingsnetwerk een samenvattend verslag in over de meldingen die zij heeft ontvangen en de maatregelen die overeenkomstig dit lid zijn genomen.	4. Na overleg met de in kennis gestelde bevoegde autoriteit en de betrokken marktdeelnemer kan het contactpunt het publiek informeren over afzonderlijke incidenten, wanneer het oordeelt dat de algemeenheid op de hoogte moet zijn om een incident te voorkomen of een zich voordoend incident aan te pakken, of wanneer die met een incident geconfronteerde marktdeelnemer heeft geweigerd om een ernstig, structureel kwetsbaar punt in verband met dat incident onverwijld te verhelpen.
	Vóór de openbaarmaking zorgt de in kennis gestelde bevoegde autoriteit ervoor dat de betrokken marktdeelnemer de mogelijkheid heeft om gehoord te worden, en dat het besluit tot openbaarmaking gebaseerd is op een behoorlijke afweging van het algemeen belang.
	Wanneer informatie over afzonderlijke incidenten openbaar wordt gemaakt, zorgt de in kennis gestelde bevoegde autoriteit of het contactpunt ervoor dat de informatie zo anoniem mogelijk wordt gemaakt.
	De bevoegde autoriteit of het contactpunt verstrekt, indien dit redelijkerwijs mogelijk is, de betrokken marktdeelnemer informatie die een doeltreffende behandeling van het gemelde incident ondersteunt.
Eenmaal per jaar dient de bevoegde autoriteit bij het samenwerkingsnetwerk een samenvattend verslag in over de meldingen die zij heeft ontvangen en de maatregelen die overeenkomstig dit lid zijn genomen.	Eenmaal per jaar dient het contactpunt bij het samenwerkingsnetwerk een samenvattend verslag in over de meldingen die het heeft ontvangen, met inbegrip van het aantal meldingen en gegevens betreffende de in lid 2 vermelde parameters voor incidenten, en de maatregelen die overeenkomstig dit lid zijn genomen.
Amendement  106 Voorstel voor een richtlijn Artikel 14 – lid 4 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	4 bis. De lidstaten moedigen marktdeelnemers aan om incidenten waarbij hun bedrijf betrokken is, op vrijwillige basis in hun financieel verslag openbaar te maken.
Amendement  107 Voorstel voor een richtlijn Artikel 14 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handeling vast te stellen met betrekking tot de omschrijving van de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden.	Schrappen
Amendement  108 Voorstel voor een richtlijn Artikel 6 – lid 6
Door de Commissie voorgestelde tekst	Amendement
6. Onverminderd elke krachtens lid 5 vastgestelde gedelegeerde handeling kunnen de bevoegde autoriteiten richtsnoeren vaststellen en, zo nodig, instructies geven met betrekking tot de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden.	6. De bevoegde autoriteiten of de contactpunten kunnen richtsnoeren vaststellen met betrekking tot de omstandigheden waarin marktdeelnemers incidenten moeten melden.
Amendement  109 Voorstel voor een richtlijn Artikel 14 – lid 8
Door de Commissie voorgestelde tekst	Amendement
8. De leden 1 en 2 zijn niet van toepassing op micro-ondernemingen zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen35.	8. De leden 1 en 2 zijn niet van toepassing op micro-ondernemingen zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen35, tenzij de micro-onderneming optreedt als dochteronderneming van een marktdeelnemer, zoals gedefinieerd in artikel 3, lid 8, onder b).
_____________	_____________
35 PB L 124 van 20.5.2003, blz. 36.	35 PB L 124 van 20.5.2003, blz. 36.
Amendement  110 Voorstel voor een richtlijn Artikel 14 – lid 8 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	8 bis. De lidstaten kunnen besluiten dit artikel en artikel 15 mutatis mutandis toe te passen op overheden.
Amendement  111 Voorstel voor een richtlijn Artikel 15 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de nodige bevoegdheden hebben om niet-naleving van de krachtens artikel 14 op overheden of marktdeelnemers rustende verplichtingen en de effecten daarvan op de beveiliging van netwerken en informatiesystemen te onderzoeken.	1. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de nodige bevoegdheden hebben om ervoor te zorgen dat marktdeelnemers hun verplichtingen uit hoofde van artikel 14 nakomen, en de effecten daarvan op de beveiliging van netwerken en informatiesystemen te onderzoeken.
Amendement  112 Voorstel voor een richtlijn Artikel 15 – lid 2 – inleidende formule
Door de Commissie voorgestelde tekst	Amendement
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de bevoegdheid hebben om marktnemers en overheden ertoe te verplichten:	2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de bevoegdheid hebben om marktnemers ertoe te verplichten:
Amendement  113 Voorstel voor een richtlijn Artikel 15 – lid 2 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een door een gekwalificeerde onafhankelijke instantie of nationale autoriteit uitgevoerde beveiligingsaudit te ondergaan en de resultaten daarvan ter beschikking te stellen van de bevoegde autoriteit.	(b) het bewijs te leveren dat het beveiligingsbeleid daadwerkelijk wordt uitgevoerd, bijvoorbeeld door middel van de resultaten van een door een gekwalificeerde onafhankelijke instantie of nationale autoriteit uitgevoerde beveiligingsaudit, en het bewijs ter beschikking te stellen van de bevoegde autoriteit of het contactpunt.
Amendement  114 Voorstel voor een richtlijn Artikel 15 – lid 2 – alinea 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	Bij het toezenden van dat verzoek vermelden de bevoegde autoriteiten en de contactpunten het doel van het verzoek en specificeren in voldoende mate welke informatie moet worden verstrekt.
Amendement  115 Voorstel voor een richtlijn Artikel 15 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de bevoegdheid hebben om marktdeelnemers en overheden bindende instructies te geven.	3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de bevoegdheid hebben om de marktnemers bindende instructies te geven.
Amendement  116 Voorstel voor een richtlijn Artikel 15 – lid 3 bis en 3 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	3 bis. In afwijking van lid 2, onder b), van dit artikel, kunnen de lidstaten besluiten dat de bevoegde autoriteiten c.q. de contactpunten ten aanzien van bepaalde marktdeelnemers, uitgaande van hun overeenkomstig artikel 13 bis vastgestelde niveau van kriticiteit, een afwijkende procedure moeten volgen. Wanneer de lidstaten zulks besluiten:
	(a) zijn de bevoegde autoriteiten c.q. de unieke contactpunten bevoegd om een voldoende specifiek verzoek in te dienen bij de marktdeelnemers op basis waarvan zij moeten aantonen dat zij het beveiligingsbeleid daadwerkelijk uitvoeren, bijvoorbeeld door middel van de resultaten van een door een gekwalificeerde interne auditor uitgevoerde beveiligingsaudit, en het bewijs ter beschikking moeten stellen van de bevoegde autoriteit of het contactpunt;
	(b) kan de bevoegde autoriteit of het contactpunt zo nodig, nadat de marktdeelnemer gevolg heeft gegeven aan het onder a) bedoelde verzoek, aanvullend bewijs verlangen of een aanvullende audit laten uitvoeren door een gekwalificeerde onafhankelijke instantie of nationale autoriteit.
	3 ter. De lidstaten kunnen besluiten het aantal en de intensiteit van de audits voor een bepaalde marktdeelnemer te verminderen wanneer uit zijn beveiligingsaudit blijkt dat hij de bepalingen van hoofdstuk IV consequent naleeft.
Amendement  117 Voorstel voor een richtlijn Artikel 15 – lid 4
Door de Commissie voorgestelde tekst	Amendement
4. De bevoegde autoriteiten melden de autoriteiten voor wetshandhaving incidenten waarvan wordt vermoed dat zij van ernstig criminele aard zijn.	4. De bevoegde autoriteiten en de contactpunten informeren de betrokken marktdeelnemers over de mogelijkheid om de autoriteiten voor wetshandhaving incidenten te melden waarvan wordt vermoed dat zij van ernstig criminele aard zijn.
Amendement  118 Voorstel voor een richtlijn Artikel 15 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. De bevoegde autoriteiten werken nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben.	5. Onverminderd de van toepassing zijnde regelgeving inzake gegevensbescherming werken de bevoegde autoriteiten en de contactpunten nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben. De contactpunten en de autoriteiten voor gegevensbescherming ontwikkelen in samenwerking met ENISA mechanismen voor gegevensuitwisseling en één sjabloon dat moet worden gebruikt zowel voor meldingen op grond van artikel 14, lid 2, van deze richtlijn als voor meldingen op grond van andere Uniewetgeving inzake gegevensbescherming.
Amendement  119 Voorstel voor een richtlijn Artikel 15 – lid 6
Door de Commissie voorgestelde tekst	Amendement
6. De lidstaten zorgen ervoor dat uit hoofde van dit hoofdstuk aan overheden en marktdeelnemers opgelegde verplichtingen aan rechterlijke toetsing kunnen worden onderworpen.	6. De lidstaten zorgen ervoor dat uit hoofde van dit hoofdstuk aan marktdeelnemers opgelegde verplichtingen aan rechterlijke toetsing kunnen worden onderworpen.
Amendement  120 Voorstel voor een richtlijn Artikel 15 – lid 6 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	6 bis. De lidstaten kunnen besluiten artikel 14 en dit artikel mutatis mutandis toe te passen op overheden.
Amendement  121 Voorstel voor een richtlijn Artikel 16 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Met het oog op de geharmoniseerde uitvoering van artikel 14, lid 1, moedigen de lidstaten het gebruik van normen en/of specificaties voor netwerk- en informatiebeveiliging aan.	1. Met het oog op de geharmoniseerde uitvoering van artikel 14, lid 1, moedigen de lidstaten het gebruik van Europese of internationale interoperabele normen en/of specificaties voor netwerk- en informatiebeveiliging aan, zonder daarbij evenwel het gebruik van een specifieke technologie voor te schrijven.
Amendement  122 Voorstel voor een richtlijn Artikel 16 – lid 2
Door de Commissie voorgestelde tekst	Amendement
2. De Commissie stelt, door middel van uitvoeringshandelingen, een lijst op van de in lid 1 bedoelde normen. De lijst wordt bekendgemaakt in het Publicatieblad van de Europese Unie.	2. De Commissie verstrekt een mandaat aan een passende Europese normalisatie-instantie om in overleg met de relevante belanghebbenden een lijst op te stellen van de in lid 1 bedoelde normen en/of specificaties. De lijst wordt bekendgemaakt in het Publicatieblad van de Europese Unie.
Amendement  123 Voorstel voor een richtlijn Artikel 17 – lid 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	1 bis. De lidstaten zorgen ervoor dat de in lid 1 van dit artikel bedoelde sancties alleen worden opgelegd wanneer de marktdeelnemer bewust of wegens ernstige nalatigheid niet heeft voldaan aan zijn verplichtingen op grond van hoofdstuk IV.
Amendement  124 Voorstel voor een richtlijn Artikel 18 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. Het Europees Parlement of de Raad kan de in artikel 9, lid 2, artikel 10, lid 5, en artikel 14, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheden. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.	3. Het Europees Parlement of de Raad kan de in artikel 9, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheden. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
Amendement  125 Voorstel voor een richtlijn Artikel 18 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Een overeenkomstig artikel 9, lid 2, artikel 10, lid 5, en artikel 14, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement of de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen geen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van de termijn van twee maanden de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.	5. Een overeenkomstig artikel 9, lid 2, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement of de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen geen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van de termijn van twee maanden de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.
Amendement  126 Voorstel voor een richtlijn Artikel 20 – lid 1
Door de Commissie voorgestelde tekst	Amendement
De Commissie evalueert de werking van deze richtlijn en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk drie jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken.	De Commissie evalueert periodiek de werking van deze richtlijn, in het bijzonder de lijst in bijlage II, en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk drie jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken.
Amendement  127 Voorstel voor een richtlijn Bijlage I – kopje 1
Door de Commissie voorgestelde tekst	Amendement
Voorschriften en taken voor het computercrisisteam (CERT)	Voorschriften en taken voor computercrisisteams (CERT's)
Amendement  128 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 1 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) het CERT garandeert een hoge mate van beschikbaarheid van zijn communicatiediensten door zwakke punten (single points of failure) te voorkomen, en kan langs diverse kanalen worden bereikt of contact opnemen. Bovendien moeten de communicatiekanalen duidelijk worden gespecificeerd en bekend zijn bij de CERT-gebruikers (constituency) en de samenwerkingspartners;	(a) de CERT's garanderen een hoge mate van beschikbaarheid van hun communicatiediensten door zwakke punten (single points of failure) te voorkomen, en kunnen te allen tijd langs diverse kanalen worden bereikt of contact opnemen. Bovendien moeten de communicatiekanalen duidelijk worden gespecificeerd en bekend zijn bij de CERT-gebruikers (constituency) en de samenwerkingspartners;
Amendement  129 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 1 – letter c
Door de Commissie voorgestelde tekst	Amendement
(c) de kantoren van het CERT en de ondersteunende informatiesystemen moeten zich op beveiligde locaties bevinden;	(c) de kantoren van de CERT's en de ondersteunende informatiesystemen moeten zich op beveiligde locaties bevinden die voorzien zijn van beveiligde netwerkinformatiesystemen;
Amendement  130 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 2 – letter a – streepje 1
Door de Commissie voorgestelde tekst	Amendement
– monitoren van incidenten op nationaal niveau,	– opsporen en monitoren van incidenten op nationaal niveau,
Amendement  131 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 2 – letter a – streepje 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	- actief participeren in uniale en internationale CERT-samenwerkingsnetwerken,
Amendement  132 Voorstel voor een richtlijn Bijlage II – inleidende formule
Door de Commissie voorgestelde tekst	Amendement
Lijst van marktdeelnemers	Lijst van marktdeelnemers
Zoals bedoeld in artikel 3, lid 8, onder a):
1. Platforms voor elektronische handel
2. Gateways voor internetbetalingen
3. Sociaalnetwerksites
4. Zoekmachines
5. Cloudcomputingdiensten
6. Internetwinkels die applicaties aanbieden
Zoals bedoeld in artikel 3, lid 8, onder b):
Amendement  133 Voorstel voor een richtlijn Bijlage II – alinea 2 – punt 1
Door de Commissie voorgestelde tekst	Amendement
Lijst van marktdeelnemers	Lijst van marktdeelnemers
1. Energie	1. Energie
	(a) Elektriciteit
- elektriciteits- en gasleveranciers,	- leveranciers
- exploitanten en aan de eindconsument leverende retailers van elektriciteits- en/of gasdistributiesystemen,	- exploitanten van distributiesystemen en aan de eindconsument leverende retailers
- exploitanten van aardgastransmissiesystemen, exploitanten van aardgasopslag en LNG-exploitanten,
- exploitanten van elektriciteitstransmissiesystemen,	- exploitanten van elektriciteitstransmissiesystemen
	(b) Aardolie
- oliepijpleidingen en olieopslag,	- oliepijpleidingen en olieopslag
	- exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie, opslag en transport
	(c) Gas
- exploitanten die actief zijn op de elektriciteits- en de gasmarkt,	- leveranciers
	- exploitanten van distributiesystemen en aan de eindconsument leverende retailers
	- exploitanten van aardgastransmissiesystemen, exploitanten van opslagsystemen en exploitanten van LNG-systemen
- exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie en aardgas	- exploitanten van voorzieningen voor de productie, raffinage en behandeling van aardgas, opslagfaciliteiten en transmissie
	- exploitanten die actief zijn op de gasmarkt.
Amendement  134 Voorstel voor een richtlijn Bijlage II – alinea 2 – punt 2
Door de Commissie voorgestelde tekst	Amendement
2. Vervoer	2. Vervoer
- luchtvaartmaatschappijen (voor vracht en passagiers),	(a) Wegvervoer
- bedrijven voor maritiem vervoer (kust- en zeevervoer van passagiers en vracht),	(i) exploitanten op het gebied van verkeersbeheer en -controle,
- spoorwegbedrijven (infrastructuurbeheerders, geïntegreerde bedrijven en exploitanten van spoorvervoer),	(ii) ondersteunende logistieke diensten:
- luchthavens,	- opslag
- havens,	- vrachtafhandeling
- exploitanten op het gebied van verkeersbeheer en -controle,	- overige vervoerondersteunende activiteiten.
- ondersteunende logistieke diensten: a) opslag , b) vrachtafhandeling en c) andere transportondersteunende activiteiten	(b) Spoorvervoer
	(i) spoorwegbedrijven (infrastructuurbeheerders, geïntegreerde bedrijven en exploitanten van spoorvervoer),
	(ii) exploitanten op het gebied van verkeersbeheer en -controle,
	(iii) ondersteunende logistieke diensten:
	- opslag
	- vrachtafhandeling
	- overige vervoerondersteunende activiteiten.
	(c) Luchtvervoer
	(i) luchtvaartmaatschappijen (voor vracht en passagiers),
	(ii) luchthavens,
	(iii) exploitanten op het gebied van verkeersbeheer en -controle
	(iv) ondersteunende logistieke diensten:
	- opslag van goederen
	- vrachtafhandeling
	- overige vervoerondersteunende activiteiten.
	(d) Zeevervoer
	(i) bedrijven voor maritiem vervoer (binnenvaart, kust- en zeevervoer van passagiers en vracht)
Amendement  135 Voorstel voor een richtlijn Bijlage II – alinea 2 – punt 4
Door de Commissie voorgestelde tekst	Amendement
4. Infrastructuur voor de financiële markt: beurzen en als centrale tegenpartij fungerende clearinginstellingen.	4. Infrastructuur voor de financiële markt: gereglementeerde markten, multilaterale handelsfaciliteiten, georganiseerde handelsfaciliteiten en als centrale tegenpartij fungerende clearinginstellingen.
Amendement  136 Voorstel voor een richtlijn Bijlage II – alinea 2 – punt 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 bis. Waterproductie en -voorziening
Amendement  137 Voorstel voor een richtlijn Bijlage II – alinea 2 – punt 5 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 ter. Voedselvoorzieningsketen
Amendement  138 Voorstel voor een richtlijn Bijlage II – alinea 2 – punt 5 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 quater. Internetverdeelpunten

• [1]  PB C 0 van …, blz. …/ Nog niet in het Publicatieblad verschenen.
• [2]  Aangenomen teksten, P7_TA(2013)0376.

TOELICHTING

1. Achtergrond

Al in 2010 werd in de Digitale Agenda voor Europa aangedrongen op goedkeuring van wetgevingsinstrumenten voor een beleid gericht op een hoog niveau van netwerk- en informatiebeveiliging. Vanwege de onderlinge verwevenheid van de netwerk- en informatiesystemen kan een ernstige storing in een lidstaat ook gevolgen hebben voor andere lidstaten en de Unie als geheel. Voor de vlotte werking van de interne markt en met name voor de verdere ontwikkeling van de digitale eengemaakte markt is het van wezenlijk belang dat netwerk- en informatiesystemen veerkrachtig en stabiel zijn en dat de continuïteit van de kerndiensten gewaarborgd is.

Gezien de uiteenlopende capaciteitsniveaus en de versnipperde benadering in de Unie mikt de Europese Commissie met haar voorstel voor een richtlijn inzake maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, op een verbetering van de beveiliging van internet en van de particuliere netwerk- en informatiesystemen die in onze samenleving en economie een ondersteunende functie hebben.

Met het oog daarop verplicht de Commissie de lidstaten ertoe hun paraatheid te verhogen en hun onderlinge samenwerking te verbeteren. Daartoe moeten zowel exploitanten van kritieke infrastructuur (voor onder meer energie en transport) als essentiële aanbieders van diensten van de informatiemaatschappij en overheden adequate maatregelen nemen om beveiligingsrisico's te beheren, en ernstige incidenten bij de nationale bevoegde autoriteiten melden.

2. Ontwerpverslag

De rapporteur steunt de globale doelstelling van de voorgestelde richtlijn, namelijk zorgen voor een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging. Om te bereiken dat de voorgestelde maatregelen nog meer effect sorteren, is het uitgangspunt voor de rapporteur dat deze richtlijn alleen moet gaan gelden voor bepaalde exploitanten, dat reeds uitgevoerde investeringen in netwerk- en informatiebeveiliging worden gevrijwaard en dat voorkomen wordt dat de marktdeelnemers worden geconfronteerd met dubbele institutionele structuren en verplichtingen. Voorts is de rapporteur van mening dat deze richtlijn de ontwikkeling van vertrouwensvolle relaties en gesprekken tussen publieke en particuliere partijen moet bevorderen en nadelige reacties moet voorkomen, namelijk dat alleen een "compliancecultuur" ontstaat en niet de gewenste "cultuur van risicobeheer". Gezien het voorgaande stelt de rapporteur de volgende centrale wijzigingen voor om het effect van deze richtlijn te vergroten.

A. Toepassingsgebied

De ontwerprichtlijn houdt verplichtingen in voor overheden en marktdeelnemers, waaronder exploitanten van kritieke infrastructuur en aanbieders van diensten van de informatiemaatschappij. Om het evenredigheidsbeginsel te eerbiedigen en snel resultaten met de richtlijn te behalen, is de rapporteur van mening dat de verplichte maatregelen in hoofdstuk IV alleen moeten gelden voor kritieke infrastructuur in engere zin. Hij stelt zich op het standpunt dat diensten van de informatiemaatschappij daarom niet moeten worden opgenomen in bijlage II bij deze richtlijn. Deze richtlijn moet zich juist richten op marktdeelnemers die diensten verlenen in o.a. de energie- en vervoerssector en op gezondheidsgebied en die infrastructuur voor de financiële markten beheren.

Met het oog op hun publieke taak moeten overheden zorgvuldigheid betrachten bij het beheer van hun netwerk- en informatiesystemen. De rapporteur vindt het daarom niet in verhouding staan om overheden aan dezelfde verplichtingen te onderwerpen als marktdeelnemers.

Naast de wijzigingen in het toepassingsgebied steunt de rapporteur het niet-uitputtende karakter van bijlage II en is hij het eens met een periodieke herziening van deze richtlijn, mede gelet op nieuwe technologische ontwikkelingen.

B. Nationale bevoegde autoriteiten

Het richtlijnvoorstel voorziet in de aanwijzing van één nationale bevoegde autoriteit per lidstaat, die belast wordt met het toezicht op de toepassing van de richtlijn. De rapporteur is van mening dat daarmee niet voldoende rekening wordt gehouden met de reeds bestaande structuren.

In bepaalde sectoren die onder deze richtlijn vallen, doen de marktdeelnemers al formeel of informeel melding van bepaalde incidenten op het gebied van de netwerk- en informatiebeveiliging bij de regelgevende instantie voor hun sector. Op grond van hun rechtstreekse band en nauwe betrekkingen met hun sector hebben deze instanties een grondige kennis van de bedreigingen en zwakke plekken waarmee hun sector specifiek te maken heeft, en kunnen daardoor als geen ander de gevolgen van potentiële of actuele incidenten voor hun sector beoordelen.

Afgezien van al uitgevoerde sectoriële investeringen moeten sommige lidstaten vanwege hun grondwettelijke bestel of op andere gronden misschien meer dan een nationale bevoegde autoriteit aanwijzen. De rapporteur stelt daarom voor de richtlijn zodanig aan te passen dat de aanwijzing van meer dan een nationale bevoegde autoriteit per lidstaat mogelijk is. Om evenwel voor een coherente toepassing binnen elke lidstaat en een doeltreffende en gestroomlijnde samenwerking op Unieniveau te zorgen, moet elke lidstaat één contactpunt aanwijzen, dat o.a. tot taak heeft deel te nemen aan het in artikel 8 bedoelde samenwerkingsnetwerk en overeenkomstig artikel 10 vroegtijdige waarschuwingen te geven.

C. Samenwerkingsnetwerk

Om de activiteiten van het samenwerkingsnetwerk te verrijken, moet het netwerk er volgens de rapporteur over nadenken om, waar dat dienstig is, ook marktdeelnemers uit te nodigen om aan deze werkzaamheden deel te nemen. Verder zou een jaarverslag over de activiteiten van het netwerk waardevolle informatie opleveren over de vooruitgang bij de uitwisseling van goede praktijken tussen de lidstaten en de ontwikkeling van incidentmeldingen voor gebruik in de hele Unie.

D. Beveiligingseisen en melding van incidenten

Als belangrijkste vernieuwing wordt in het richtlijnvoorstel de verplichting voor de marktdeelnemers ingevoerd om melding te maken van incidenten met een aanzienlijke impact op de beveiliging van de kerndiensten. Om duidelijk te maken hoe ver die verplichting gaat en om deze in de basishandeling te verankeren, stelt de rapporteur voor de in artikel 14, lid 5, bedoelde gedelegeerde handelingen te vervangen door duidelijke criteria om te bepalen welke incidenten een aanzienlijke impact hebben en gemeld moeten worden. Gezien de beoogde aanpassing aan Richtlijn 2009/140/EG zouden de werkingssfeer en de criteria voor de meldingen kunnen worden verduidelijkt door middel van vergelijkbare indicatoren als die voor Richtlijn 2009/140/EG zijn vastgesteld in de technische richtsnoeren van ENISA inzake de melding van incidenten. Voorts beveelt de rapporteur aan de garanties met betrekking tot de publicatie van informatie over incidenten te versterken, en verschaft hij duidelijkheid over het toepasselijke recht ingeval een incident gevolgen heeft voor de kerndiensten in verscheidene lidstaten, zodat er niet meerdere of onduidelijke meldingsverplichtingen worden opgelegd.

E. Uitvoering en handhaving

De rapporteur acht het van essentieel belang om een cultuur van risicobeheer te bevorderen en voort te bouwen op hetgeen al door de marktdeelnemers wordt gedaan. Hij is in dit verband van mening dat niet zozeer van belang is in welke vorm de informatie over de concrete risicobeheersactiviteiten wordt verstrekt, maar dat vooral de globale samenwerking tussen en de concrete maatregelen van de marktdeelnemers tellen.

In het kader van artikel 15 moet daarom ten aanzien van marktdeelnemers die moeten aantonen dat zij voldoen aan de voor hen geldende beveiligingseisen, de nodige flexibiliteit worden betracht. Zij moeten dit in een andere vorm dan via een beveiligingsaudit kunnen aantonen.

F. Sancties

De rapporteur ziet weliswaar de noodzaak van sancties voor marktdeelnemers die de regels overtreden om de effectiviteit van deze richtlijn te verhogen, maar hij is van mening dat mogelijke sancties geen nadelige effecten mogen hebben doordat de bereidheid om incidenten te melden afneemt. Vermeden moet worden dat incidenten niet snel worden gemeld omdat het risico bestaat dat sancties worden opgelegd, louter en alleen omdat bijvoorbeeld niet is voldaan aan de procedurele vereisten. De rapporteur stelt daarom voor om duidelijk te maken dat er, wanneer een marktdeelnemer niet heeft voldaan aan zijn verplichtingen uit hoofde van hoofdstuk IV, maar daarbij niet opzettelijk of grof nalatig heeft gehandeld, geen sancties worden toegepast.

ADVIES van de Commissie INDUSTRIE, ONDERZOEK EN ENERGIE* (19.12.2013)

aan de Commissie interne markt en consumentenbescherming

inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Rapporteur voor advies (*): Pilar del Castillo Vera

(*) Procedure met medeadviserende commissies – Artikel 50 van het Reglement

BEKNOPTE MOTIVERING

In februari 2013 presenteerde de Commissie, zoals gevraagd door het Europees Parlement in zijn initiatiefverslag over een digitale agenda voor Europa, een voorstel voor een richtlijn inzake maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, samen met de eerste EU-strategie voor cyberveiligheid. Rapporteur verwelkomt het voorstel, gezien het feit dat we op basis van een analyse van de beschikbare gegevens weten dat met kwade opzet gecreëerde ict-gerelateerde incidenten alleen al op het niveau van kmo’s naar schatting meer dan 560 miljoen EUR aan schade per jaar opleveren en dat alle soorten incidenten samen (met inbegrip van milieu- of natuurlijke problemen hogerop in de keten, zoals natuurrampen) directe kosten van misschien wel meer dan 2,3 miljard EUR veroorzaken.

Rapporteur is het met een aantal van de voorgestelde maatregelen eens, zoals het uitbreiden van de bepalingen betreffende het melden van veiligheidsincidenten (nu op grond van artikel 13 bis van de kaderrichtlijn uit 2009 beperkt tot de sector telecommunicatie) tot andere belangrijke infrastructuursectoren. Positief zijn verder bijvoorbeeld het voorstel dat alle lidstaten verplicht goed functionerende teams in het leven moeten roepen voor het inspelen op noodsituaties met computers, alsmede het voorstel dat inhoudt dat een bevoegde autoriteit aangewezen moet worden als onderdeel van een pan-Europees elektronisch netwerk voor het veilig uitwisselen van gegevens en informatie met betrekking tot cyberveiligheid, en dat omdat deze voorstellen in belangrijke mate kunnen bijdragen tot het verwezenlijken van de doelstelling van de richtlijn, namelijk het waarborgen van een hoog niveau van netwerk- en informatiebeveiliging in de Unie.

Rapporteur is evenwel van mening dat het voorstel nog verder kan worden verbeterd middels de toepassing van twee belangrijke beginselen: doeltreffendheid en vertrouwen.

Eerste beginsel: doeltreffendheid

Wat de verplichting voor de lidstaten betreft om een bevoegde autoriteit aan te wijzen die belast is met het monitoren van de toepassing van de richtlijn voor alle sectoren zoals bedoeld in bijlage II bij het voorstel, is rapporteur van oordeel dat elke lidstaat niet alleen het cyberbeveiligingsmodel moet kunnen kiezen dat hij het beste acht, maar ook dat het uitermate belangrijk is overlapping van institutionele structuren te vermijden omdat dit tot belangenconflicten en de verstoring van communicaties kan leiden. In dit verband is rapporteur dan ook van mening dat bestaande nationale structuren die goed functioneren en die aan de nationale behoeften en grondwettelijke vereisten voldoen, niet moeten worden ontmanteld. Wel vindt zij dat elke lidstaat, met het oog op het waarborgen van een goede uitwisseling van informatie op het niveau van de EU, de vroegtijdige melding van bedreigingen en de efficiënte deelname aan het samenwerkingsnetwerk, een eenloketsysteem moet opzetten.

In dezelfde geest van het willen optimaliseren van de doeltreffendheid van het voorstel voor een richtlijn vindt rapporteur dat het voorstel betreffende de aanwijzing van een nationaal computer emergency response team (CERT) mogelijkerwijs niet het meest geëigend is, aangezien het voorbijgaat aan de verschillen in aard en samenstelling van de bestaande CERT’s. Niet alleen hebben de meeste lidstaten meer dan één CERT, de CERT’s richten zich ook op verschillende soorten incidenten. Ook de kwantiteit en de kwaliteit van de activiteiten verschillen, afhankelijk van wie ze heeft ontwikkeld en exploiteert. Daarnaast zou het voorstel zoals het nu is geformuleerd bestaande internationale en Europese samenwerkingsnetwerken waar de huidige CERT’s reeds in zijn geïntegreerd, verstoren, terwijl deze efficiënt zijn gebleken wat het coördineren van internationale en Europese reacties op incidenten betreft. Rapporteur vindt dan ook dat de richtlijn niet op slechts één nationale CERT gericht zou moeten zijn, maar zou moeten inzetten op die CERT’s die hun diensten aanbieden voor de sectoren in bijlage II, en het bijvoorbeeld mogelijk zou moeten maken dat één CERT diensten aanbiedt voor alle sectoren in bijlage II, maar ook dat meerdere CERT’s diensten aan eenzelfde sector aanbieden. Rapporteur vindt wel dat de lidstaten moeten waarborgen dat hun CERT’s te allen tijde volledig operationeel zijn en over voldoende technische, financiële en menselijke hulpbronnen beschikken om goed te kunnen functioneren en deel te kunnen nemen in internationale en uniale samenwerkingsnetwerken.

Ook weer met het oog op de doeltreffendheid moet het voorstel voor een richtlijn worden aangepast wat het toepassingsgebied betreft. Enerzijds gaat rapporteur akkoord met het voorstel om de verplichtingen met betrekking tot het melden van incidenten uit te breiden tot de sectoren energie, vervoer, gezondheid en financiën, anderzijds is zij van mening dat het uitbreiden van de verplichte maatregelen in hoofdstuk IV tot alle marktdeelnemers in de “interneteconomie” onevenredig en onwerkbaar is. Het is onevenredig omdat het zonder onderscheid des persoons opleggen van nieuwe verplichtingen aan een open en niet-gedefinieerde categorie, zoals “elke aanbieder van informatiemaatschappijdiensten die het aanbieden van andere informatiemaatschappijdiensten mogelijk maakt”, niet alleen onbegrijpelijk, maar ook niet volledig gerechtvaardigd is wanneer men kijkt naar de mogelijke schade ten gevolg van een veiligheidsincident, en daarnaast het gevaar met zich meebrengt van nog weer een bureaucratische laag voor onze industriesector, en met name kmo’s. Het is verder onwerkbaar omdat helemaal niet zeker is of de bevoegde autoriteiten voorbereid zijn op het op proactieve wijze ontvangen van alle potentiële meldingen, d.w.z. een wijze die een interactieve dialoog met de marktdeelnemers mogelijk maakt, teneinde de veiligheidsbedreiging op te lossen.

Wat overheden betreft, moet de richtlijn een evenwicht tot stand brengen tussen de noodzaak van het verder ontwikkelen van eGovernment-diensten enerzijds en de reeds bestaande zorgvuldigheidsverplichtingen ten aanzien van het beheer en de bescherming van hun netwerken en informatiesystemen anderzijds. Rapporteur vindt tegen deze achtergrond dat de verplichtingen met betrekking tot het uitwisselen van informatie zoals bedoeld in artikel 14 volledig voor overheden moeten gelden, maar dat overheden vrijgesteld moeten zijn van de verplichtingen van artikel 15.

Tweede beginsel: vertrouwen

Volgens rapporteur hangt het succes van de richtlijn in belangrijke mate af van de vraag in hoeverre de participatie van de marktdeelnemers kan worden gewaarborgd, resulterend in een vertrouwenwekkend klimaat van netwerk- en informatiebeveiliging en, in het algemeen, proactieve deelname. Lukt dit niet, is de richtlijn mislukt. In dit kader vindt rapporteur dat ervoor moet worden gewaakt dat de participatie van en de meldingen door de marktdeelnemers negatief worden beïnvloed door het onnodig publiceren van door hen gemelde veiligheidsincidenten, of dat zij aansprakelijk worden gesteld voor een verlies aan informatie door de bevoegde autoriteiten of het eenloketsysteem. Daarnaast is een interactieve dialoog tussen de marktdeelnemers en de bevoegde autoriteiten belangrijk, en moeten de marktdeelnemers worden aangespoord in alle fora, waaronder het samenwerkingsnetwerk, actief te zijn.

Rapporteur is ook van mening dat vertrouwen de pijler onder de participatie van de bevoegde autoriteiten en/of het eenloketsysteem moet zijn, met name wat de uitwisseling van informatie betreft. Met het oog hierop moeten in de richtlijn bepalingen betreffende vertrouwelijkheid en passende vereisten inzake de beveiliging van het netwerk worden opgenomen.

AMENDEMENTEN

De Commissie industrie, onderzoek en energie verzoekt de ten principale bevoegde Commissie interne markt en consumentenbescherming onderstaande amendementen in haar verslag op te nemen:

Amendement  1 Voorstel voor een richtlijn Overweging 1
Door de Commissie voorgestelde tekst	Amendement
(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt.	(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de vrijheid en de algehele beveiliging van de burgers van de EU en de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt.
Amendement  2 Voorstel voor een richtlijn Overweging 2
Door de Commissie voorgestelde tekst	Amendement
(2) De omvang en frequentie van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen.	(2) De omvang, frequentie en impact van beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Deze systemen kunnen ook een gemakkelijk doelwit worden van opzettelijke schadelijke acties die bedoeld zijn om de werking van de systemen schade toe te brengen of te onderbreken. Zulke incidenten kunnen de gezondheid en veiligheid van de bevolking in gevaar brengen, de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het vertrouwen van gebruikers en beleggers ondermijnen en de economie van de Unie ernstige schade toebrengen.
Motivering
Cyberaanvallen op beursgenoteerde bedrijven zijn wijdverbreid en kunnen de vorm aannemen van bijvoorbeeld diefstal van financiële activa en intellectuele eigendom, of verstoring van de handelingen van klanten of zakenpartners, hetgeen gevolgen kan hebben voor de relaties met aandeelhouders, alsook voor de besluitvorming van potentiële investeerders.
Amendement  3 Voorstel voor een richtlijn Overweging 3
Door de Commissie voorgestelde tekst	Amendement
(3) Als communicatiemiddel zonder grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt.	(3) Als communicatiemiddel zonder traditionele grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten, ideeën en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt, en bovendien ook voor de werking van externe markten.
Motivering
De veerkracht en stabiliteit van netwerk- en informatiesystemen van de eengemaakte markt is ook essentieel voor de interactie met mondiale en regionale markten, zoals Noord-Amerika en Azië, enzovoort.
Amendement  4 Voorstel voor een richtlijn Overweging 4
Door de Commissie voorgestelde tekst	Amendement
(4) Op het niveau van de Unie moet een samenwerkingsmechanisme worden opgezet dat informatie-uitwisseling en gecoördineerde opsporing en reactie met betrekking tot netwerk- en informatiebeveiliging ("NIB") mogelijk maakt. Opdat dat mechanisme doeltreffend en inclusief zou zijn, is het essentieel dat alle lidstaten over minimumcapaciteit en een strategie beschikken om op hun grondgebied een hoog niveau van NIB te waarborgen. Om een cultuur van risicobeheer te bevorderen en ervoor te zorgen dat de ernstigste incidenten worden gemeld, moeten ook voor overheden en exploitanten van kritieke informatie-infrastructuur minimumeisen inzake beveiliging gelden.	(4) Op het niveau van de Unie moet een samenwerkingsmechanisme worden opgezet dat informatie-uitwisseling en gecoördineerde preventie, opsporing en reactie met betrekking tot netwerk- en informatiebeveiliging ("NIB") mogelijk maakt. Opdat dat mechanisme doeltreffend en inclusief zou zijn, is het essentieel dat alle lidstaten over minimumcapaciteit en een strategie beschikken om op hun grondgebied een hoog niveau van NIB te waarborgen. Om een cultuur van risicobeheer te bevorderen en ervoor te zorgen dat de ernstigste incidenten worden gemeld, moeten ook voor openbare en particuliere exploitanten van informatie-infrastructuur en beursgenoteerde bedrijven minimumeisen inzake beveiliging gelden. Het wettelijke kader dient te zijn gebaseerd op de noodzaak de privacy en integriteit van burgers te vrijwaren. Het Waarschuwingsnetwerk betreffende kritieke infrastructuur (CIWIN) dient te worden uitgebreid naar deze specifieke exploitanten.
Motivering
Inbreuken op de beveiliging van beursgenoteerde ondernemingen kunnen materiële gevolgen hebben voor de producten en diensten van het bedrijf, voor zijn relatie met klanten of leveranciers en voor de algemene mededingingsvoorwaarden, en kunnen derhalve belangrijke gevolgen hebben voor de werking van de interne (en externe) markt. Bijgevolg dient onderhavige richtlijn ook op beursgenoteerde bedrijven van toepassing te zijn.
Amendement  5 Voorstel voor een richtlijn Overweging 4 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 bis) Deze richtlijn dient zich te richten op de kritieke infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, infrastructuur voor de financiële markt en gezondheid.
Amendement  6 Voorstel voor een richtlijn Overweging 4 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 ter) Om te waarborgen dat regeringen hun bevoegdheden niet misbruiken of te buiten gaan is het van cruciaal belang dat de informatie- en beveiligingssystemen van overheidsinstanties transparant en rechtmatig zijn en goed zijn opgezet, en op transparante wijze middels een democratisch proces zijn vastgesteld.
Amendement  7 Voorstel voor een richtlijn Overweging 6
Door de Commissie voorgestelde tekst	Amendement
(6) De bestaande capaciteit volstaat niet om een hoog niveau van NIB in de Unie te waarborgen. Omdat het niveau van paraatheid van de lidstaten sterk uiteenloopt, is de aanpak in de Unie gefragmenteerd. Dit leidt tot ongelijke niveaus van bescherming van consumenten en bedrijven en ondermijnt het algemene NIB-niveau in de Unie. Doordat er geen gemeenschappelijke minimumeisen ten aanzien van overheden en marktdeelnemers gelden, is het dan weer onmogelijk een overkoepelend en doeltreffend mechanisme voor samenwerking op het niveau van de Unie op te zetten.	(6) De bestaande capaciteit volstaat niet om een hoog niveau van NIB in de Unie te waarborgen. Omdat het niveau van paraatheid van de lidstaten sterk uiteenloopt, is de aanpak in de Unie gefragmenteerd. Dit leidt tot ongelijke niveaus van bescherming van consumenten en bedrijven en ondermijnt het algemene NIB-niveau in de Unie. Doordat er geen gemeenschappelijke minimumeisen ten aanzien van marktdeelnemers gelden, is het dan weer onmogelijk een overkoepelend en doeltreffend mechanisme voor samenwerking op het niveau van de Unie op te zetten, zodat bovendien de doeltreffendheid van de internationale samenwerking en, in het verlengde daarvan, de bestrijding van de mondiale beveiligingsuitdagingen worden aangetast, en wordt de internationaal leidende positie van de Unie bij het waarborgen en bevorderen van een open, doeltreffend en veilig internet ondermijnd.
Amendement  8 Voorstel voor een richtlijn Overweging 7
Door de Commissie voorgestelde tekst	Amendement
(7) Om doeltreffend te reageren op de beveiligingsuitdagingen voor netwerk- en informatiesystemen is daarom een overkoepelende aanpak op het niveau van de Unie nodig die gemeenschappelijke minimumeisen inzake capaciteitsopbouw en planning, informatie-uitwisseling, coördinatie van maatregelen en gemeenschappelijke minimumeisen inzake beveiliging voor alle betrokken marktdeelnemers en overheden omvat.	(7) Om doeltreffend te reageren op de beveiligingsuitdagingen voor netwerk- en informatiesystemen is daarom een overkoepelende aanpak op het niveau van de Unie nodig die gemeenschappelijke minimumeisen inzake capaciteitsopbouw en planning, de ontwikkeling van voldoende vaardigheden op het gebied van cyberbeveiliging, informatie-uitwisseling, coördinatie van maatregelen en gemeenschappelijke minimumeisen inzake beveiliging omvat. Er moeten gemeenschappelijke minimumnormen worden toegepast overeenkomstig de relevante aanbevelingen van de Cyber Security Coordination Group (CSCG).
Amendement  9 Voorstel voor een richtlijn Overweging 9
Door de Commissie voorgestelde tekst	Amendement
(9) Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op nationaal niveau moeten aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt.	(9) Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op basis van de in deze richtlijn vastgestelde minimumeisen moeten er op nationaal niveau aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt. Elke lidstaat dient bijgevolg verplicht te worden te voldoen aan gemeenschappelijke normen voor gegevensformaten en de uitwisselbaarheid van te delen en te evalueren gegevens. De lidstaten kunnen het Europees Agentschap voor netwerk- en informatiebeveiliging ("ENISA") om bijstand vragen bij de ontwikkeling van hun nationale NIB-strategie op basis van een gemeenschappelijke minimale blauwdruk voor NIB-strategieën.
Motivering
ENISA geniet bij de relevante belanghebbenden erkenning als zijnde een zeer competent, hoogkwalitatief centrum en een betrouwbaar instrument ter bevordering van de cyberbeveiliging in de EU. Bijgevolg dient de EU dubbel werk en dubbele structuren te vermijden door voort te bouwen op de knowhow van ENISA en ENISA te vragen adviesdiensten te verlenen aan de lidstaten die geen NIB-instellingen en -expertise hebben, en die een dergelijk verzoek tot ondersteuning indienen.
Amendement  10 Voorstel voor een richtlijn Overweging 10
Door de Commissie voorgestelde tekst	Amendement
(10) Om de doeltreffende uitvoering van de krachtens deze richtlijn vastgestelde bepalingen mogelijk te maken, moet in elke lidstaat een met de coördinatie van NIB-zaken belaste instantie worden opgericht of aangewezen die optreedt als contactpunt voor grensoverschrijdende samenwerking op het niveau van de Unie. Deze instanties moeten de nodige technische, financiële en personele middelen krijgen om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken.	(10) Om de doeltreffende uitvoering van de krachtens deze richtlijn vastgestelde bepalingen mogelijk te maken, moet in elke lidstaat een met de coördinatie van NIB-zaken belaste instantie worden opgericht of aangewezen die optreedt als het enig contactpunt voor zowel interne coördinatie als grensoverschrijdende samenwerking op het niveau van de Unie. Deze enige contactpunten moeten worden aangewezen onverminderd de mogelijkheid voor de lidstaten om overeenkomstig hun constitutionele, juridische of bestuurlijke voorschriften meer dan één nationale bevoegde instantie te belasten met het toezicht op netwerkinformatiebeveiliging, maar moeten niettemin coördinatietaken op nationaal niveau en op het niveau van de Unie toegewezen krijgen. Deze instanties moeten de nodige technische, financiële en personele middelen krijgen om de hun toegewezen taken op ononderbroken, doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken.
Amendement  11 Voorstel voor een richtlijn Overweging 10 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(10 bis) Om rekening te houden met de uiteenlopende nationale bestuursstructuren, reeds bestaande sectoriële regelingen ongemoeid te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen voor de uitvoering van de uit deze richtlijn voortvloeiende taken in verband met de beveiliging van de netwerk- en informatiesystemen van marktdeelnemers. Ter waarborging van een soepele grensoverschrijdende samenwerking en communicatie is het evenwel noodzakelijk dat elke lidstaat slechts één nationaal contactpunt aanwijst dat belast is met de grensoverschrijdende samenwerking op Unieniveau. Indien dit op grond van zijn constitutionele bestel of op andere gronden noodzakelijk is, moet een lidstaat slechts één autoriteit kunnen aanwijzen voor de uitvoering van de taken van de bevoegde autoriteit en het ene contactpunt.
Amendement  12 Voorstel voor een richtlijn Overweging 11
Door de Commissie voorgestelde tekst	Amendement
(11) Alle lidstaten moeten zowel technisch als organisatorisch voldoende zijn toegerust voor het voorkomen en opsporen van en reageren op incidenten en risico's met betrekking tot netwerk- en informatiesystemen. Daarom moeten in alle lidstaten goed functionerende, aan essentiële eisen beantwoordende computercrisisteams (Computer Emergency Response Teams – CERT's) worden opgericht die voor doeltreffende en compatibele capaciteit voor de aanpak van incidenten en risico's moeten zorgen en doeltreffende samenwerking op het niveau van de Unie waarborgen.	(11) Alle lidstaten en marktdeelnemers moeten zowel technisch als organisatorisch voldoende zijn toegerust voor het te allen tijde voorkomen en opsporen van en reageren op incidenten en risico's met betrekking tot netwerk- en informatiesystemen. Beveiligingssystemen van overheden moeten veilig zijn en onderworpen aan democratische controle en toetsing. Algemeen benodigde apparatuur en middelen moeten voldoen aan gemeenschappelijk overeengekomen technische normen, alsook aan standaardvoorschriften voor werkzaamheden (SPO's). Daarom moeten in alle lidstaten goed functionerende, aan essentiële eisen beantwoordende computercrisisteams (Computer Emergency Response Teams – CERT's) worden opgericht die voor doeltreffende en compatibele capaciteit voor de aanpak van incidenten en risico's moeten zorgen en doeltreffende samenwerking op het niveau van de Unie waarborgen. Deze CERT's moeten de mogelijkheid krijgen te communiceren op basis van algemene technische normen en SPO's. Gezien de verschillende kenmerken van de bestaande CERT’s, die voor verschillende behoeften en actoren worden ingezet, dienen de lidstaten te waarborgen dat elk van de sectoren zoals bedoeld in bijlage II onder de verantwoordelijkheid van ten minste één CERT valt. Met het oog op de grensoverschrijdende samenwerking tussen de CERT's moeten de lidstaten erop toezien dat de CERT's voldoende middelen ter beschikking hebben om aan de reeds bestaande internationale en Europese samenwerkingsnetwerken te kunnen deelnemen.
Motivering
Interoperabiliteit moet gewaarborgd zijn.
Amendement  13 Voorstel voor een richtlijn Overweging 12
Door de Commissie voorgestelde tekst	Amendement
(12) Voortbouwend op de aanzienlijke vooruitgang die in het Europees Forum voor de lidstaten (EFMS) is geboekt met betrekking tot het bevorderen van discussies en de uitwisseling van goede beleidspraktijken, waaronder de ontwikkeling van beginselen voor Europese cybercrisissamenwerking, moeten de lidstaten en de Commissie een netwerk vormen om permanente communicatie tot stand te brengen en samenwerking te bevorderen. Dit beveiligde en doeltreffende samenwerkingsmechanisme moet gestructureerde en gecoördineerde informatie-uitwisseling, opsporing en reactie op het niveau van de Unie mogelijk maken.	(12) Voortbouwend op de aanzienlijke vooruitgang die in het Europees Forum voor de lidstaten (EFMS) is geboekt met betrekking tot het bevorderen van discussies en de uitwisseling van goede beleidspraktijken, waaronder de ontwikkeling van beginselen voor Europese cybercrisissamenwerking, moeten de lidstaten en de Commissie een netwerk vormen om permanente communicatie tot stand te brengen en samenwerking te bevorderen. Dit beveiligde en doeltreffende samenwerkingsmechanisme, dat de participatie van de marktdeelnemers waarborgt, moet gestructureerde en gecoördineerde informatie-uitwisseling, opsporing en reactie op het niveau van de Unie mogelijk maken.
Amendement  14 Voorstel voor een richtlijn Overweging 13
Door de Commissie voorgestelde tekst	Amendement
(13) Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) moet de lidstaten en de Commissie met deskundigheid en advies bijstaan en de uitwisseling van beste praktijken faciliteren. Met name bij de toepassing van deze richtlijn moet de Commissie ENISA raadplegen. Om ervoor te zorgen dat de lidstaten en de Commissie doeltreffend en tijdig worden geïnformeerd, moeten binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over incidenten en risico's worden gegeven. Om capaciteit en kennis bij de lidstaten op te bouwen, moet het samenwerkingsnetwerk tevens dienstdoen als een instrument voor de uitwisseling van beste praktijken, dat de leden behulpzaam is bij het opbouwen van capaciteit en houvast biedt bij de organisatie van collegiale toetsingen en NIB-oefeningen.	(13) Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) moet de lidstaten en de Commissie met deskundigheid en advies bijstaan en de uitwisseling van beste praktijken faciliteren. Met name bij de toepassing van deze richtlijn moeten de Commissie en de lidstaten ENISA raadplegen. Om ervoor te zorgen dat de lidstaten en de Commissie doeltreffend en tijdig worden geïnformeerd, moeten binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over incidenten en risico's worden gegeven. Om capaciteit en kennis bij de lidstaten op te bouwen, moet het samenwerkingsnetwerk tevens dienstdoen als een instrument voor de uitwisseling van beste praktijken, dat de leden behulpzaam is bij het opbouwen van capaciteit en houvast biedt bij de organisatie van collegiale toetsingen en NIB-oefeningen.
Amendement  15 Voorstel voor een richtlijn Overweging 14
Door de Commissie voorgestelde tekst	Amendement
(14) Er moet een beveiligde informatie-uitwisselingsstructuur worden opgezet om de uitwisseling van gevoelige en vertrouwelijke informatie binnen het netwerk mogelijk te maken. Onverminderd hun verplichting om incidenten en risico's met een uniale dimensie bij het samenwerkingsnetwerk te melden, mogen lidstaten alleen toegang tot vertrouwelijke informatie van andere lidstaten krijgen indien zij aantonen dat hun technische, financiële en personele middelen en processen, alsook hun communicatiestructuur, waarborgen dat hun deelname aan het netwerk doeltreffend, efficiënt en veilig is.	(14) Er moet onder toezicht van ENISA een beveiligde informatie-uitwisselingsstructuur worden opgezet om de uitwisseling van gevoelige en vertrouwelijke informatie binnen het netwerk mogelijk te maken. Onverminderd hun verplichting om incidenten en risico's met een uniale dimensie bij het samenwerkingsnetwerk te melden, mogen lidstaten alleen toegang tot vertrouwelijke informatie van andere lidstaten krijgen indien zij aantonen dat hun technische, financiële en personele middelen en processen, alsook hun communicatiestructuur, waarborgen dat hun deelname aan het netwerk doeltreffend, efficiënt en veilig is. Teneinde ervoor te zorgen dat het samenwerkingsnetwerk zijn taak doeltreffend kan vervullen, dient de Commissie een begrotingslijn voor het netwerk te creëren.
Amendement  16 Voorstel voor een richtlijn Overweging 14 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(14 bis) Waar dit dienstig is, kunnen ook de marktdeelnemers worden uitgenodigd om aan de activiteiten van het samenwerkingsnetwerk deel te nemen.
Amendement  17 Voorstel voor een richtlijn Overweging 15
Door de Commissie voorgestelde tekst	Amendement
(15) Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en informatie en beste praktijken uitwisselen in ruil voor operationele steun bij incidenten.	(15) Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en over en weer informatie en beste praktijken uitwisselen, waaronder de uitwisseling van relevante informatie en operationele steun en strategisch geanalyseerde informatie bij incidenten. Om de uitwisseling van informatie en beste praktijken doeltreffend te stimuleren is het essentieel ervoor te zorgen dat marktdeelnemers die deelnemen aan een dergelijke uitwisseling, geen nadelen ondervinden ten gevolge van hun samenwerking. Er zijn afdoende waarborgen nodig om ervoor te zorgen dat een dergelijke samenwerking voor deze marktdeelnemers niet leidt tot een verhoogd nalevingsrisico of nieuwe verplichtingen krachtens wetgeving inzake onder andere mededinging, intellectuele eigendom, gegevensbescherming of cybermisdrijven, en voor hen ook niet leidt tot verhoogde operationele of beveiligingsrisico's.
Amendement  18 Voorstel voor een richtlijn Overweging 16
Door de Commissie voorgestelde tekst	Amendement
(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten een gemeenschappelijke website opzetten om niet-vertrouwelijke informatie over de incidenten en risico's bekend te maken.	(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de contactpunten een gemeenschappelijke Uniebrede website opzetten om niet-vertrouwelijke informatie over de incidenten, risico's en methoden voor risicobeperking bekend te maken en om op den duur adviezen te verstrekken over passende onderhoudsmaatregelen.
Amendement  19 Voorstel voor een richtlijn Overweging 17
Door de Commissie voorgestelde tekst	Amendement
(17) Wanneer informatie overeenkomstig uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, moet die vertrouwelijkheid worden gewaarborgd tijdens de activiteiten die noodzakelijk zijn ter verwezenlijking van de doelstellingen van deze verordening.	(17) Het in overweging 14 bedoelde beleid voor informatieclassificering moet overeenkomen met het door ENISA aanbevolen verkeerslichtprotocol voor informatie-uitwisseling. Alle uit te wisselen informatie wordt geclassificeerd en behandeld overeenkomstig het gevoeligheidsniveau ervan, zoals bepaald door de bron van de informatie. Wanneer informatie overeenkomstig uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, moet die vertrouwelijkheid worden gewaarborgd tijdens de activiteiten die noodzakelijk zijn ter verwezenlijking van de doelstellingen van deze verordening.
Amendement  20 Voorstel voor een richtlijn Overweging 18
Door de Commissie voorgestelde tekst	Amendement
(18) Uitgaande van de nationale ervaringen inzake crisisbeheer en in samenwerking met ENISA, moeten de Commissie en de lidstaten een NIB-samenwerkingsplan van de Unie opstellen waarin samenwerkingsmechanismen worden vastgesteld om risico's en incidenten aan te pakken. Met dat plan moet terdege rekening worden gehouden in de werking van het mechanisme voor vroegtijdige waarschuwing dat in het kader van het samenwerkingsnetwerk bestaat.	(18) Uitgaande van de nationale ervaringen inzake crisisbeheer en in samenwerking met ENISA, moeten de Commissie en de lidstaten een NIB-samenwerkingsplan van de Unie opstellen waarin samenwerkingsmechanismen, beste praktijken en operationele patronen worden vastgesteld om risico's en incidenten te voorkomen, op te sporen, te rapporteren en aan te pakken. Met dat plan moet terdege rekening worden gehouden in de werking van het mechanisme voor vroegtijdige waarschuwing dat in het kader van het samenwerkingsnetwerk bestaat.
Amendement  21 Voorstel voor een richtlijn Overweging 19
Door de Commissie voorgestelde tekst	Amendement
(19) Het geven van een vroegtijdige waarschuwing in het netwerk moet enkel worden voorgeschreven indien de omvang of ernst van het incident of risico van dien aard is of kan worden dat informatie over of coördinatie van de reactie op het niveau van de Unie vereist is. Vroegtijdige waarschuwingen moeten daarom worden beperkt tot mogelijke of daadwerkelijke incidenten of risico's die snel in omvang toenemen, de nationale reactiecapaciteit te boven gaan of meer dan een lidstaat treffen. Om een behoorlijke evaluatie mogelijk te maken, moet alle informatie die relevant is voor de beoordeling van het risico of incident, aan het samenwerkingsnetwerk worden meegedeeld.	(19) Het geven van een vroegtijdige waarschuwing in het netwerk moet enkel worden voorgeschreven indien de omvang of ernst van het incident of risico van dien aard is of kan worden dat informatie over of coördinatie van de reactie op het niveau van de Unie vereist is. Vroegtijdige waarschuwingen moeten daarom worden beperkt tot incidenten of risico's die snel in omvang toenemen, de nationale reactiecapaciteit te boven gaan of meer dan een lidstaat treffen. Om een behoorlijke evaluatie mogelijk te maken, moet alle informatie die relevant is voor de beoordeling van het risico of incident, aan het samenwerkingsnetwerk worden meegedeeld.
Amendement  22 Voorstel voor een richtlijn Overweging 20
Door de Commissie voorgestelde tekst	Amendement
(20) Zodra de bevoegde autoriteiten een vroegtijdige waarschuwing hebben ontvangen en beoordeeld, moeten zij een gecoördineerde reactie op grond van het NIB-samenwerkingsplan van de Unie overeenkomen. Zowel de bevoegde autoriteiten als de Commissie moeten worden geïnformeerd over de maatregelen die als gevolg van de gecoördineerde reactie op nationaal niveau zijn genomen.	(20) Zodra de contactpunten een vroegtijdige waarschuwing hebben ontvangen en beoordeeld, moeten zij een gecoördineerde reactie op grond van het NIB-samenwerkingsplan van de Unie overeenkomen. Zowel de contactpunten, ENISA als de Commissie moeten worden geïnformeerd over de maatregelen die als gevolg van de gecoördineerde reactie op nationaal niveau zijn genomen.
Amendement  23 Voorstel voor een richtlijn Overweging 22
Door de Commissie voorgestelde tekst	Amendement
(22) De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij overheden en marktdeelnemers. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van aan de risico's aangepaste beveiligingsmaatregelen behelst. Ook de totstandbrenging van een gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk.	(22) De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij overheden en marktdeelnemers. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer, nauwe samenwerking en vertrouwen worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van aan de risico's aangepaste beveiligingsmaatregelen behelst. Ook de totstandbrenging van een betrouwbaar gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk.
Amendement  24 Voorstel voor een richtlijn Overweging 24
Door de Commissie voorgestelde tekst	Amendement
(24) Deze verplichtingen moeten van de elektronischecommunicatiesector worden uitgebreid naar andere belangrijke aanbieders van diensten van de informatiemaatschappij zoals gedefinieerd in Richtlijn 98/34/EG van het Europees Parlement en de Raad betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij27, die ten grondslag liggen aan stroomafwaartse diensten van de informatiemaatschappij of onlineactiviteiten zoals platforms voor elektronische handel, gateways voor internetbetalingen, sociaalnetwerksites, zoekmachines, cloudcomputingdiensten en internetwinkels die applicaties aanbieden. Verstoring van deze ondersteunende diensten van de informatiemaatschappij belemmert de aanbieding van andere diensten van de informatiemaatschappij die daarvan in belangrijke mate afhankelijk zijn. Softwareontwikkelaars en hardwarefabrikanten zijn geen aanbieders van diensten van de informatiemaatschappij en zijn daarom uitgesloten. De genoemde verplichtingen moeten ook worden uitgebreid naar overheden en exploitanten van kritieke infrastructuur die sterk afhankelijk zijn van informatie- en communicatietechnologie en essentieel zijn voor de instandhouding van vitale economische en maatschappelijke functies zoals de voorziening van elektriciteit en gas, vervoer, kredietinstellingen, effectenbeurzen en gezondheidszorg. Verstoring van deze netwerk- en informatiesystemen zou de eengemaakte markt aantasten.	(24) Deze verplichtingen moeten van de elektronischecommunicatiesector worden uitgebreid naar exploitanten van infrastructuur die sterk afhankelijk zijn van informatie- en communicatietechnologie en essentieel zijn voor de instandhouding van vitale economische en maatschappelijke functies, zoals de voorziening van elektriciteit en gas, vervoer, kredietinstellingen, infrastructuur voor de financiële markt en gezondheidszorg. Verstoring van deze netwerk- en informatiesystemen zou de interne markt aantasten. Hoewel de verplichtingen zoals bedoeld in deze richtlijn geen betrekking hebben op andere belangrijke aanbieders van diensten van de informatiemaatschappij zoals gedefinieerd in Richtlijn 98/34/EG van het Europees Parlement en de Raad betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij27, die ten grondslag liggen aan stroomafwaartse diensten van de informatiemaatschappij of onlineactiviteiten zoals platforms voor elektronische handel, gateways voor internetbetalingen, sociaalnetwerksites, zoekmachines, cloudcomputingdiensten in het algemeen en internetwinkels die applicaties aanbieden, mogen deze de bevoegde autoriteit of het contactpunt, op vrijwillige basis, op de hoogte stellen van netwerkbeveiligingsincidenten waarvan zij dit nodig achten, in welk geval de bevoegde autoriteit of het contactpunt de marktdeelnemers die het incident hebben gemeld, indien dit redelijkerwijs mogelijk is, strategisch geanalyseerde informatie dient te doen toekomen die dienstig is bij het oplossen van de bedreiging voor de beveiliging.
__________________	__________________
27 PB L 204 van 21.7.1998, blz. 37.	27 PB L 204 van 21.7.1998, blz. 37.
Amendement  25 Voorstel voor een richtlijn Overweging 25
Door de Commissie voorgestelde tekst	Amendement
(25) De technische en organisatorische maatregelen die aan overheden en marktdeelnemers worden opgelegd, mogen er niet toe nopen dat een bepaald commercieel informatie- en communicatietechnologieproduct op een bepaalde wijze moet worden ontworpen, ontwikkeld of vervaardigd.	(25) De technische en organisatorische maatregelen die aan marktdeelnemers worden opgelegd, mogen er niet toe nopen dat een bepaald commercieel informatie- en communicatietechnologieproduct op een bepaalde wijze moet worden ontworpen, ontwikkeld of vervaardigd. Anderzijds moet het gebruik van internationale normen op het gebied van cyberbeveiliging verplicht worden gesteld.
Amendement  26 Voorstel voor een richtlijn Overweging 28
Door de Commissie voorgestelde tekst	Amendement
(28) De bevoegde autoriteiten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. Bij de bekendmaking van aan de bevoegde autoriteiten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, worden afgewogen tegen mogelijke commerciële en imagoschade voor de overheden en marktdeelnemers die incidenten melden. Bij het nakomen van de meldingsverplichtingen moeten de bevoegde autoriteiten bijzondere aandacht besteden aan de noodzaak om informatie over de kwetsbare punten van producten strikt vertrouwelijk te houden tot er passende herstel- en beveiligingsmaatregelen zijn genomen.	(28) De bevoegde autoriteiten en contactpunten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. De producenten en dienstverleners van getroffen ICT-producten en -diensten moeten in kennis worden gesteld van voorheen onbekende, bij de bevoegde autoriteiten gemelde kwetsbaarheden of incidenten. Bij de bekendmaking van aan de bevoegde autoriteiten en contactpunten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, worden afgewogen tegen mogelijke commerciële en imagoschade voor de marktdeelnemers die incidenten melden. Om het vertrouwen en de doeltreffendheid te waarborgen, worden incidenten alleen openbaar gemaakt na raadpleging van degene die ze heeft gemeld en alleen wanneer dit absoluut noodzakelijk is voor het verwezenlijken van de doelstellingen van deze richtlijn. Bij het nakomen van de meldingsverplichtingen moeten de bevoegde autoriteiten en contactpunten bijzondere aandacht besteden aan de noodzaak om informatie over de kwetsbare punten van producten strikt vertrouwelijk te houden tot er passende herstel- en beveiligingsmaatregelen zijn genomen, maar mogen een melding niet langer uitstellen dan dwingend is voorgeschreven. Als regel mogen contactpunten geen persoonsgegevens openbaar maken van personen die bij incidenten betrokken zijn. Contactpunten dienen persoonsgegevens alleen openbaar te maken indien de openbaarmaking van die gegevens noodzakelijk is en in verhouding staat tot het nagestreefde doel.
Motivering
Indien autoriteiten op de hoogte zijn van bepaalde zwakke punten in ICT-producten of ‑diensten, moeten zij de producenten en dienstverleners hiervan in kennis stellen, opdat zij hun producten en diensten tijdig kunnen aanpassen.
Amendement  27 Voorstel voor een richtlijn Overweging 29
Door de Commissie voorgestelde tekst	Amendement
(29) De bevoegde autoriteiten moeten over de nodige middelen beschikken om hun taken uit te voeren, met inbegrip van de bevoegdheid om van marktdeelnemers en overheden de nodige informatie te eisen om het beveiligingsniveau van netwerk- en informatiesystemen te beoordelen, alsook betrouwbare en complete gegevens over reële incidenten die een impact op de werking van netwerk- en informatiesystemen hebben gehad.	(29) De bevoegde autoriteiten en contactpunten moeten over de nodige middelen beschikken om hun taken uit te voeren, met inbegrip van de bevoegdheid om van marktdeelnemers de nodige informatie te eisen om het beveiligingsniveau van netwerk- en informatiesystemen te beoordelen en het aantal, de omvang en de reikwijdte van incidenten te meten, alsook betrouwbare en complete gegevens over reële incidenten die een impact op de werking van netwerk- en informatiesystemen hebben gehad.
Amendement  28 Voorstel voor een richtlijn Overweging 30
Door de Commissie voorgestelde tekst	Amendement
(30) In veel gevallen liggen criminele activiteiten aan de oorsprong van een incident. De criminele aard van incidenten kan worden verondersteld, zelfs indien daar in het begin nog niet voldoende bewijs voor is. Tegen die achtergrond moet een doeltreffende en alomvattende reactie op de dreiging van beveiligingsincidenten leiden tot passende samenwerking tussen bevoegde autoriteiten en wetshandhavingsinstanties. Om een veilige, beveiligde en veerkrachtige omgeving te bevorderen, moeten incidenten waarvan wordt vermoed dat ze van ernstig criminele aard zijn, systematisch aan wetshandhavingsautoriteiten worden gemeld. Of incidenten van ernstig criminele aard zijn, moet worden beoordeeld in het licht van de EU-wetgeving inzake cybercriminaliteit.	(30) In veel gevallen liggen criminele activiteiten of cyberoorlogshandelingen aan de oorsprong van een incident. De criminele aard van incidenten kan worden verondersteld, zelfs indien daar in het begin nog niet voldoende bewijs voor is. Tegen die achtergrond moet een doeltreffende en alomvattende reactie op de dreiging van beveiligingsincidenten leiden tot passende samenwerking tussen bevoegde autoriteiten, contactpunten en wetshandhavingsinstanties, alsook tot samenwerking met het EC3 (Centrum voor de bestrijding van cybercriminaliteit van Europol) en ENISA. Om een veilige, beveiligde en veerkrachtige omgeving te bevorderen, moeten incidenten waarvan wordt vermoed dat ze van ernstig criminele aard zijn, systematisch aan wetshandhavingsautoriteiten worden gemeld. Of incidenten van ernstig criminele aard zijn, moet worden beoordeeld in het licht van de EU-wetgeving inzake cybercriminaliteit.
Amendement  29 Voorstel voor een richtlijn Overweging 31
Door de Commissie voorgestelde tekst	Amendement
(31) In veel gevallen worden persoonsgegevens aangetast als gevolg van incidenten. Daarom moeten de bevoegde autoriteiten en de autoriteiten voor gegevensbescherming samenwerken en informatie over alle relevante zaken uitwisselen om inbreuken in verband met persoonsgegevens als gevolg van incidenten aan te pakken. De lidstaten moeten de verplichting om beveiligingsincidenten te melden, gestalte geven op een wijze die de administratieve lasten minimaliseert wanneer het beveiligingsincident ook een inbreuk in verband met persoonsgegevens vormt overeenkomstig de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens28. ENISA, dat in contact staat met de bevoegde autoriteiten en de autoriteiten voor gegevensbescherming, kan bijstand verlenen door informatie-uitwisselingsmechanismen en modellen te ontwikkelen zodat er geen twee meldingsmodellen nodig zijn. Dit eenvormige meldingsmodel zou de rapportage van incidenten die persoonsgegevens aantasten, faciliteren en zo de administratieve lasten voor bedrijven en overheden verlichten.	(31) In veel gevallen worden persoonsgegevens aangetast als gevolg van incidenten. De lidstaten en de marktdeelnemers moeten opgeslagen, verwerkte of verstuurde persoonsgegevens beschermen tegen accidentele of onwettige vernietiging, accidenteel wissen of wijzigen en ongeoorloofde of onwettige opslag, toegang of openbaarmaking, verspreiding of toegang, en moeten de invoering waarborgen van een beveiligingsbeleid met betrekking tot de verwerking van persoonsgegevens. Daarom moeten de bevoegde autoriteiten, de contactpunten en de autoriteiten voor gegevensbescherming samenwerken en informatie over alle relevante zaken uitwisselen om inbreuken in verband met persoonsgegevens als gevolg van incidenten aan te pakken. Aan de verplichting om beveiligingsincidenten te melden, moet worden voldaan op een wijze die de administratieve lasten minimaliseert wanneer het beveiligingsincident ook een inbreuk in verband met persoonsgegevens vormt die gemeld moet worden overeenkomstig de toepasselijke wetgeving. ENISA dient bijstand te verlenen door informatie-uitwisselingsmechanismen en een eenvormig meldingsmodel te ontwikkelen dat de rapportage van incidenten die persoonsgegevens aantasten, zou faciliteren en zo de administratieve lasten voor bedrijven en overheden zou verlichten.
__________________
28 SEC(2012) 72 final
Motivering
Aangepast aan de ontwerprichtlijn inzake gegevensbescherming.
Amendement  30 Voorstel voor een richtlijn Overweging 32
Door de Commissie voorgestelde tekst	Amendement
(32) De normalisatie van beveiligingseisen is een marktgestuurd proces. Met het oog op een eenvormige toepassing van beveiligingsnormen, moeten de lidstaten naleving van of afstemming op specifieke normen aanmoedigen om een hoog beveiligingsniveau op het niveau van de Unie te waarborgen. Daartoe kan het nodig zijn geharmoniseerde normen op te stellen, hetgeen moet gebeuren overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad29.	(32) De normalisatie van beveiligingseisen is een marktgestuurd proces met een vrijwillig karakter dat de marktdeelnemers in staat moet stellen alternatieve middelen in te zetten voor het bereiken van ten minste vergelijkbare resultaten. Met het oog op een eenvormige toepassing van beveiligingsnormen, moeten de lidstaten naleving van of afstemming op specifieke interoperabele normen aanmoedigen om een hoog beveiligingsniveau op het niveau van de Unie te waarborgen. Daartoe moet worden overwogen om open internationale normen voor de beveiliging van netwerkinformatie toe te passen of om dergelijke instrumenten te ontwerpen. Verder kan het om vooruit te komen nodig zijn geharmoniseerde normen op te stellen, hetgeen moet gebeuren overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad29. Met name ETSI, CEN en CENELEC moeten een mandaat krijgen om effectieve en efficiënte open beveiligingsnormen voor de EU voor te stellen, waarbij technologische voorkeuren zoveel mogelijk moeten worden vermeden, en deze normen zouden eenvoudig beheerbaar moeten zijn voor kleine en middelgrote marktdeelnemers. Internationale normen in verband met cyberveiligheid moeten zorgvuldig tegen het licht worden gehouden om te waarborgen dat ze geen risico vormen en zorgen voor een afdoende beveiligingsniveau, en derhalve garanderen dat door de gemandateerde naleving van de cyberbeveiligingsnormen het totale cyberbeveiligingsniveau van de Unie stijgt en niet het tegenovergestelde gebeurt.
__________________	__________________
29 PB L 316 van 14.11.2012, blz. 12.	29 PB L 316 van 14.11.2012, blz. 12.
Amendement  31 Voorstel voor een richtlijn Overweging 33
Door de Commissie voorgestelde tekst	Amendement
(33) De Commissie moet deze richtlijn op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende technologische omstandigheden of marktomstandigheden moeten worden gewijzigd.	(33) De Commissie moet deze richtlijn in overleg met alle belanghebbenden op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende maatschappelijke, politieke, technologische of marktomstandigheden moeten worden gewijzigd.
Amendement  32 Voorstel voor een richtlijn Overweging 34
Door de Commissie voorgestelde tekst	Amendement
(34) Teneinde de soepele werking van het samenwerkingsnetwerk mogelijk te maken, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met het oog op het bepalen van de criteria die een lidstaat moet nakomen bij zijn deelname aan het beveiligde informatie-uitwisselingssysteem, alsmede met het oog op de verdere omschrijving van de gebeurtenissen die tot vroegtijdige waarschuwing leiden en de bepaling van de omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden.	Schrappen
Amendement  33 Voorstel voor een richtlijn Overweging 35
Door de Commissie voorgestelde tekst	Amendement
(35) Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad.	(35) Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer van alle belanghebbenden en in het bijzonder op deskundigenniveau. De Commissie moet ervoor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad.
Amendement  34 Voorstel voor een richtlijn Overweging 36
Door de Commissie voorgestelde tekst	Amendement
(36) Om uniforme voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden verleend met betrekking tot de samenwerking tussen de bevoegde autoriteiten en de Commissie in het samenwerkingsnetwerk, de toegang tot de beveiligde informatie-uitwisselingsinfrastructuur, het NIB-samenwerkingsplan van de Unie, de formaten en procedures om het publiek in te lichten over incidenten, en de voor NIB relevante normen en/of technische specificaties. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren30.	(36) Om uniforme voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden verleend met betrekking tot de samenwerking tussen de contactpunten en de Commissie in het samenwerkingsnetwerk, onverminderd op nationaal niveau bestaande samenwerkingsmechanismen, het gemeenschappelijke pakket interconnectie- en beveiligingsnormen voor de beveiligde informatie-uitwisselingsinfrastructuur, het NIB-samenwerkingsplan van de Unie en de formaten en procedures voor het melden van ernstige incidenten. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren30.
__________________	__________________
30 PB L 55 van 28.2.2011, blz.13.	30 PB L 55 van 28.2.2011, blz.13.
Amendement  35 Voorstel voor een richtlijn Overweging 37
Door de Commissie voorgestelde tekst	Amendement
(37) Bij de toepassing van deze richtlijn moet de Commissie waar passend contacten onderhouden met de relevante sectorale comités en de op EU-niveau opgerichte relevante organen, met name op het gebied van energie, vervoer en gezondheid.	(37) Bij de toepassing van deze richtlijn moet de Commissie waar passend contacten onderhouden met de relevante sectorale comités en de op EU-niveau opgerichte relevante organen, met name op het gebied van e-overheid, energie, vervoer en gezondheid.
Amendement  36 Voorstel voor een richtlijn Overweging 38
Door de Commissie voorgestelde tekst	Amendement
(38) Informatie die door een bevoegde autoriteit overeenkomstig de uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, mag uitsluitend met de Commissie en andere bevoegde autoriteiten worden uitgewisseld wanneer die uitwisseling strikt noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie moet beperkt zijn tot hetgeen relevant is voor en evenredig met het doel van een dergelijke uitwisseling.	(38) Informatie die door een bevoegde autoriteit of een contactpunt overeenkomstig de uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, mag uitsluitend met de Commissie, haar relevante agentschappen, contactpunten en/of andere nationale bevoegde autoriteiten worden uitgewisseld wanneer die uitwisseling strikt noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie moet beperkt zijn tot hetgeen relevant en noodzakelijk is voor en evenredig met het doel van een dergelijke uitwisseling, met inachtneming van vooraf vastgestelde criteria voor vertrouwelijkheid en de protocollen voor beveiliging en classificatie die van toepassing zijn op de informatie-uitwisselingsprocedure.
Amendement  37 Voorstel voor een richtlijn Overweging 39
Door de Commissie voorgestelde tekst	Amendement
(39) Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten, kan het nodig zijn persoonsgegevens te verwerken. Zulke verwerking van persoonsgegevens is noodzakelijk ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang en is dus gerechtvaardigd uit hoofde van artikel 7 van Richtlijn 95/46/EG. Zij vormt, met betrekking tot deze gerechtvaardigde doelen, geen onevenredige en onduldbare ingreep waardoor het recht op de door artikel 8 van het Handvest van grondrechten gewaarborgde bescherming van persoonsgegevens in zijn kern wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie31 van toepassing zijn. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.	(39) Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten of de contactpunten, kan het nodig zijn persoonsgegevens te verwerken. Zulke verwerking van persoonsgegevens is noodzakelijk ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang en is dus gerechtvaardigd uit hoofde van artikel 7 van Richtlijn 95/46/EG. Zij vormt, met betrekking tot deze gerechtvaardigde doelen, geen onevenredige en onduldbare ingreep waardoor het recht op de door artikel 8 van het Handvest van grondrechten gewaarborgde bescherming van persoonsgegevens in zijn kern wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie31 van toepassing zijn. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.
__________________	__________________
31 PB L 145 van 31.5.2001, blz. 43.	31 PB L 145 van 31.5.2001, blz. 43.
Amendement  38 Voorstel voor een richtlijn Overweging 41 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(41 bis) Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie over toelichtende stukken van 28 september 2011 hebben de lidstaten zich ertoe verbonden in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van een of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van dergelijke stukken gerechtvaardigd.
Amendement  39 Voorstel voor een richtlijn Artikel 1 – lid 2– letter b
Door de Commissie voorgestelde tekst	Amendement
(b) de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;	(b) de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen, met de participatie van de betrokken partijen;
Amendement  40 Voorstel voor een richtlijn Artikel 1 – lid 6
Door de Commissie voorgestelde tekst	Amendement
6. Voor de uitwisseling van informatie in het samenwerkingsnetwerk krachtens hoofdstuk III en de melding van NIB-incidenten krachtens artikel 14 kan de verwerking van persoonsgegevens vereist zijn. Deze verwerking, die noodzakelijk is ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang, wordt door de lidstaten toegestaan uit hoofde van artikel 7 van Richtlijn 95/46/EG en Richtlijn 2002/58/EG, zoals in de nationale wetgeving ten uitvoer gelegd.	6. Voor de uitwisseling van informatie in het samenwerkingsnetwerk krachtens hoofdstuk III en de melding van NIB-incidenten krachtens artikel 14 kunnen communicatie met vertrouwde derden en de verwerking van persoonsgegevens vereist zijn. Deze verwerking, die noodzakelijk is ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang, wordt door de lidstaten toegestaan uit hoofde van artikel 7 van Richtlijn 95/46/EG en Richtlijn 2002/58/EG, zoals in de nationale wetgeving ten uitvoer gelegd. De lidstaten stellen wetgevingsmaatregelen vast overeenkomstig artikel 13 van Richtlijn 95/46/EG om te waarborgen dat overheden, marktdeelnemers en bevoegde autoriteiten niet aansprakelijk kunnen worden gesteld voor de verwerking van persoonsgegevens die nodig is voor de informatie-uitwisseling binnen het samenwerkingsnetwerk en voor incidentmeldingen.
Amendement  41 Voorstel voor een richtlijn Artikel 2 – alinea 1
Door de Commissie voorgestelde tekst	Amendement
Onverminderd de krachtens het recht van de Unie op hen rustende verplichtingen worden de lidstaten er niet van weerhouden bepalingen die een hoger niveau van beveiliging waarborgen, aan te nemen of te handhaven.	Onverminderd de krachtens het recht van de Unie op hen rustende verplichtingen worden de lidstaten er niet van weerhouden om, in overeenstemming met het Handvest van de grondrechten van de EU, bepalingen die een hoger niveau van beveiliging waarborgen, aan te nemen of te handhaven.
Motivering
De discretionaire bevoegdheid van de lidstaten op het gebied van beveiliging moet ondergeschikt zijn aan de grondrechten die door het Handvest van de grondrechten van de Europese Unie worden erkend, met name het recht op eerbiediging van het privéleven en communicatie, het recht op bescherming van de persoonsgegevens, de vrijheid van ondernemerschap en het recht op een doeltreffende voorziening in rechte.
Amendement  42 Voorstel voor een richtlijn Artikel 3 – punt 1 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, computergegevens automatisch verwerkt of verwerken; alsook	(b) een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, digitale gegevens automatisch verwerkt of verwerken; alsook
Amendement  43 Voorstel voor een richtlijn Artikel 3 – punt 1 – letter c
Door de Commissie voorgestelde tekst	Amendement
(c) computergegevens die met onder a) en b) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.	(c) digitale gegevens die met onder a) en b) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.
Amendement  44 Voorstel voor een richtlijn Artikel 3 – punt 2
Door de Commissie voorgestelde tekst	Amendement
(2) "beveiliging": het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen;	(2) "beveiliging": het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen; de hier omschreven definitie van "beveiliging" omvat passende technische apparaten, oplossingen en exploitatieprocedures ter waarborging van de naleving van de in onderhavige richtlijn vastgelegde beveiligingseisen;
Amendement  45 Voorstel voor een richtlijn Artikel 3 – punt 4
Door de Commissie voorgestelde tekst	Amendement
(4) "incident": elke omstandigheid of gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging;	(4) "incident": elke redelijkerwijs te identificeren omstandigheid of gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging;
Motivering
De oorspronkelijke formulering was te breed en zou toepassing van de definitie hebben bemoeilijkt.
Amendement  46 Voorstel voor een richtlijn Artikel 3 – punt 5
Door de Commissie voorgestelde tekst	Amendement
(5) "dienst van de informatiemaatschappij": een dienst in de zin van artikel 1, punt 2, van Richtlijn 98/34/EG;	Schrappen
Amendement  47 Voorstel voor een richtlijn Artikel 3 – punt 8 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) een aanbieder van diensten van de informatiemaatschappij die de verlening van andere diensten van de informatiemaatschappij mogelijk maken; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;	Schrappen
Amendement  48 Voorstel voor een richtlijn Artikel 3 – punt 7
Door de Commissie voorgestelde tekst	Amendement
(7) "incidentenbehandeling": alle procedures ter ondersteuning van de analyse en beheersing van en reactie op een incident;	(7) "incidentenbehandeling": alle procedures ter ondersteuning van de opsporing, preventie, analyse en beheersing van en reactie op een incident;
Amendement  49 Voorstel voor een richtlijn Artikel 3 – punt 8
Door de Commissie voorgestelde tekst	Amendement
(a) een aanbieder van diensten van de informatiemaatschappij die de verlening van andere diensten van de informatiemaatschappij mogelijk maken; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;
(b) een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen en gezondheid; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;	(b) een publieke of particuliere exploitant van infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, financiële markten en gezondheid, en waarvan de verstoring of vernietiging ingrijpende gevolgen in een lidstaat zou hebben als gevolg van het niet in stand houden van die functies; een lijst hiervan is opgenomen in bijlage II;
Amendement  50 Voorstel voor een richtlijn Artikel 3 – punt 8 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(8 bis) "incident met aanzienlijke gevolgen": een incident dat de beveiliging en continuïteit van een informatienetwerk of -systeem aantast en tot ernstige verstoring leidt van vitale economische of maatschappelijke functies;
Amendement  51 Voorstel voor een richtlijn Artikel 3– punt 8 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(8 ter) "dienst": de dienst die door een marktdeelnemer wordt verleend, uitgezonderd alle andere diensten van dezelfde entiteit;
Amendement  52 Voorstel voor een richtlijn Artikel 3 – punt 11 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 bis) "gereglementeerde markt": een gereglementeerde markt in de zin van artikel 4, punt 14, van Richtlijn 2004/39/EG van het Europees Parlement en de Raad28bis;
	__________________
	28a Richtlijn 2004/39/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende markten voor financiële instrumenten (PB L 45 van 16.2.2005, blz. 18).
Amendement  53 Voorstel voor een richtlijn Artikel 3– punt 11 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 ter) "multilaterale handelsfaciliteit (MTF)": een multilaterale handelsfaciliteit in de zin van artikel 4, punt 15, van Richtlijn 2004/39/EG;
Amendement  54 Voorstel voor een richtlijn Artikel 3 – punt 11 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 quater) "georganiseerde handelsfaciliteit": een door een beleggingsonderneming of een marktexploitant geëxploiteerd multilateraal systeem of faciliteit, anders dan een gereglementeerde markt, een multilaterale handelsfaciliteit of een centrale tegenpartij, waarin meerdere koop- en verkoopintenties van derden met betrekking tot obligaties, gestructureerde financiële producten, emissierechten of derivaten op zodanige wijze met elkaar in contact kunnen komen dat er een overeenkomst uit voortvloeit overeenkomstig het bepaalde in titel II van Richtlijn 2004/39/EG;
Amendement  55 Voorstel voor een richtlijn Artikel 4 – alinea 1
Door de Commissie voorgestelde tekst	Amendement
Overeenkomstig deze richtlijn waarborgen de lidstaten een hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied.	Overeenkomstig het Handvest van de grondrechten van de EU en deze richtlijn waarborgen de lidstaten een aanhoudend en continu hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied.
Motivering
De discretionaire bevoegdheid van de lidstaten op het gebied van beveiliging moet ondergeschikt zijn aan de grondrechten die door het Handvest van de grondrechten van de Europese Unie worden erkend, met name het recht op eerbiediging van het privéleven en communicatie, het recht op bescherming van de persoonsgegevens, de vrijheid van ondernemerschap en het recht op een doeltreffende voorziening in rechte.
Amendement  56 Voorstel voor een richtlijn Artikel 5 – lid 1 – letter e bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(e bis) De lidstaten kunnen het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) om bijstand vragen bij de ontwikkeling van hun nationale NIB-strategie en nationaal NIB-samenwerkingsplan op basis van een gemeenschappelijke minimale blauwdruk voor NIB-strategieën en -samenwerking.
Amendement  57 Voorstel voor een richtlijn Artikel 5 – lid 2 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) een risicobeoordelingsplan om risico's te vast te stellen en de impact van mogelijke incidenten te beoordelen;	(a) een risicobeheerskader met inbegrip van de identificering, prioritering, evaluatie en behandeling van risico's, de beoordeling van de impact van mogelijke incidenten, preventie- en beheersingsopties, en criteria voor de keuze van mogelijke tegenmaatregelen;
Amendement  58 Voorstel voor een richtlijn Artikel 5 – lid 2 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) de omschrijving van de taken en verantwoordelijkheden van de verscheidene actoren die bij de uitvoering van het plan betrokken zijn;	(b) de omschrijving van de taken en verantwoordelijkheden van de verscheidene autoriteiten en andere actoren die bij de uitvoering van het kader betrokken zijn;
Amendement  59 Voorstel voor een richtlijn Artikel 6 – titel
Door de Commissie voorgestelde tekst	Amendement
Nationale autoriteit voor de beveiliging van netwerk- en informatiesystemen	Nationale bevoegde autoriteiten en contactpunten voor de beveiliging van netwerk- en informatiesystemen
Amendement  60 Voorstel voor een richtlijn Artikel 6 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat wijst een voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale autoriteit (de "bevoegde autoriteit") aan.	1. Elke lidstaat wijst een of meer voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale autoriteiten (hierna de "bevoegde autoriteit" genoemd) aan.
Amendement  61 Voorstel voor een richtlijn Artikel 6 – lid 2 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 bis. Indien een lidstaat meer dan een bevoegde autoriteit aanwijst, wijst hij een nationale autoriteit, bijvoorbeeld een bevoegde autoriteit, aan als nationaal contactpunt voor de beveiliging van netwerk- en informatiesystemen (hierna het "contactpunt" genoemd). Indien een lidstaat slechts één bevoegde autoriteit aanwijst, is die bevoegde autoriteit tevens het contactpunt.
Amendement  62 Voorstel voor een richtlijn Artikel 6 – lid 2 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 ter. De bevoegde autoriteiten en het contactpunt van een en dezelfde lidstaat werken nauw samen met betrekking tot de in deze richtlijn vastgestelde verplichtingen.
Amendement  63 Voorstel voor een richtlijn Artikel 6 – lid 2 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	2 quater. Het contactpunt waarborgt de grensoverschrijdende samenwerking met de andere contactpunten.
Amendement  64 Voorstel voor een richtlijn Artikel 6 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de nodige technische, financiële en personele middelen beschikken om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken. De lidstaten zorgen ervoor dat de bevoegde autoriteiten op doeltreffende, efficiënte en veilige wijze samenwerken middels het in artikel 8 bedoelde netwerk.	3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten over de nodige technische, financiële en personele middelen beschikken om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken. De lidstaten zorgen ervoor dat de contactpunten op doeltreffende, efficiënte en veilige wijze samenwerken middels het in artikel 8 bedoelde netwerk.
Amendement  65 Voorstel voor een richtlijn Artikel 6 – lid 4
Door de Commissie voorgestelde tekst	Amendement
4. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de meldingen van incidenten van overheden en marktdeelnemers ontvangen overeenkomstig artikel 14, lid 2, en dat hun de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden worden verleend.	4. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en contactpunten de meldingen van incidenten van marktdeelnemers ontvangen overeenkomstig artikel 14, lid 2, en dat hun de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden worden verleend.
Amendement  66 Voorstel voor een richtlijn Artikel 6 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Indien nodig raadplegen de bevoegde autoriteiten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen.	5. De bevoegde autoriteiten raadplegen automatisch de gegevensbeschermingsautoriteiten en zij werken, indien nodig, samen met de betrokken nationale wetshandhavingsinstanties.
Motivering
Het bestaan van een enkele bevoegde autoriteit die instaat voor het toezicht op nationaal niveau zonder samen te werken met een ander orgaan dat als tegengewicht dient, is niet evenredig en strookt niet met het evenwicht tussen het waarborgen van de veiligheid en van de vrijheid.
Amendement  67 Voorstel voor een richtlijn Artikel 6 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Indien nodig raadplegen de bevoegde autoriteiten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen.	5. Indien nodig raadplegen de bevoegde autoriteiten en contactpunten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen.
Amendement  68 Voorstel voor een richtlijn Artikel 6 – lid 6
Door de Commissie voorgestelde tekst	Amendement
6. Elke lidstaat stelt de Commissie onverwijld in kennis van de aanstelling van de bevoegde autoriteit, van haar taken, en van elke latere wijziging daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteit openbaar.	6. Elke lidstaat stelt de Commissie onverwijld in kennis van de aanwijzing van de bevoegde autoriteiten en het contactpunt, van hun taken, en van elke latere wijziging daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteiten openbaar.
Amendement  69 Voorstel voor een richtlijn Artikel 7 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat zet een computercrisisteam ("Computer Emergency Response Team", hierna "CERT") op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit.	1. Elke lidstaat zet ten minste één computercrisisteam ("Computer Emergency Response Team", hierna "CERT") voor elk van de in bijlage II bedoelde sectoren op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1. Een CERT mag worden opgericht binnen de bevoegde autoriteit.
Amendement  70 Voorstel voor een richtlijn Artikel 7 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Het CERT oefent zijn taken uit onder toezicht van de bevoegde autoriteit, die regelmatig de adequaatheid van de middelen, het mandaat en de doeltreffendheid van de incidentenbehandelingsprocedure evalueert.	5. De CERT’s oefenen hun taken uit onder toezicht van de bevoegde autoriteit of het contactpunt, die/dat regelmatig de adequaatheid van de middelen en het mandaat van de CERT's en de doeltreffendheid van hun incidentenbehandelingsprocedure evalueert.
Amendement  71 Voorstel voor een richtlijn Artikel 7 – lid 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 bis. De lidstaten zorgen ervoor dat de CERT’s over passende personele en financiële middelen beschikken om actief deel te nemen in internationale en, met name, uniale samenwerkingsnetwerken.
Amendement  72 Voorstel voor een richtlijn Artikel 7 – lid 5 – punt 1 (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(1) De CERT's worden in staat gesteld en aangemoedigd tot het opzetten van en deelnemen aan gezamenlijke oefeningen met andere CERT's, met de CERT's van alle lidstaten, en met passende instellingen van niet-lidstaten, alsook met de CERT's van multi- en internationale instellingen, zoals de NAVO en de VN.
Amendement  73 Voorstel voor een richtlijn Artikel 7 – lid 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 bis. De lidstaten kunnen het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of andere lidstaten om bijstand vragen bij de ontwikkeling van hun nationale CERT's.
Amendement  74 Voorstel voor een richtlijn Artikel 8
Door de Commissie voorgestelde tekst	Amendement
1. De bevoegde autoriteiten en de Commissie vormen een netwerk ("samenwerkingsnetwerk") om samen op te treden tegen risico's en incidenten met betrekking tot netwerk- en informatiesystemen.	1. De contactpunten, het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) en de Commissie vormen een netwerk ("samenwerkingsnetwerk") waarin zij samen optreden tegen risico's en incidenten met betrekking tot netwerk- en informatiesystemen.
2. Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de bevoegde autoriteiten tot stand. Het Europees Agentschap voor netwerk- en informatiebeveiliging ("ENISA") staat het samenwerkingsnetwerk op verzoek bij met zijn deskundigheid en advies.	2. Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de contactpunten tot stand. Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) staat het samenwerkingsnetwerk bij met zijn deskundigheid en advies. Waar dit relevant is, werkt het samenwerkingsnetwerk samen met de gegevensbeschermingsautoriteiten.
3. Binnen het samenwerkingsnetwerk doen de bevoegde autoriteiten het volgende:	3. Binnen het samenwerkingsnetwerk doen de contactpunten het volgende:
(a) zij verspreiden vroegtijdige waarschuwingen over risico's en incidenten overeenkomstig artikel 10;	(a) zij verspreiden vroegtijdige waarschuwingen over risico's en incidenten overeenkomstig artikel 10;
(b) zij zorgen voor een gecoördineerde reactie overeenkomstig artikel 11;	(b) zij zorgen voor een gecoördineerde reactie overeenkomstig artikel 11;
(c) zij maken regelmatig niet-vertrouwelijke informatie over vroegtijdige waarschuwingen en gecoördineerde reacties die op dat moment worden verspreid of aan de gang zijn, bekend op een gemeenschappelijke website.	(c) zij maken regelmatig niet-vertrouwelijke informatie over vroegtijdige waarschuwingen en gecoördineerde reacties die op dat moment worden verspreid of aan de gang zijn, bekend op een gemeenschappelijke website;
	(c bis) zij bespreken gezamenlijk en komen tot overeenstemming over een gemeenschappelijke interpretatie en een consistente toepassing en coördineren hun maatregelen betreffende de beveiligingseisen en incidentmeldingen, als bedoeld in artikel 14, en betreffende de uitvoering en handhaving, als bedoeld in artikel 15;
(d) zij bespreken en beoordelen gezamenlijk, op verzoek van een lidstaat of van de Commissie, een of meer in artikel 5 bedoelde nationale NIB-strategieën en nationale NIB-samenwerkingsplannen, binnen het toepassingsgebied van deze richtlijn.	(d) zij bespreken en beoordelen gezamenlijk een of meer in artikel 5 bedoelde nationale NIB-strategieën en nationale NIB-samenwerkingsplannen, binnen het toepassingsgebied van deze richtlijn;
(e) zij bespreken en beoordelen gezamenlijk, op verzoek van een lidstaat of van de Commissie, de doeltreffendheid van de CERT's, met name wanneer er NIB-oefeningen worden verricht op het niveau van de Unie;	(e) zij bespreken en beoordelen gezamenlijk, op verzoek van ENISA, een lidstaat of van de Commissie, de doeltreffendheid van de CERT's, met name wanneer er NIB-oefeningen worden verricht op het niveau van de Unie, en voeren zonder noemenswaardig uitstel maatregelen uit om de vastgestelde zwakke plekken uit de weg te ruimen;
(f) zij werken samen met en wisselen informatie over alle relevante kwesties uit met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol, en met andere relevante Europese instanties, met name op het gebied van gegevensbescherming, energie, vervoer, bankieren, effectenbeurzen en gezondheid;	(f) zij werken samen met en wisselen informatie over alle relevante kwesties op het gebied van netwerk- en informatiebeveiliging uit met andere relevante Europese instanties, met name op het gebied van energie, vervoer, bankieren, financiële markten en gezondheid;
	(f bis) zij bespreken gezamenlijk en komen tot overeenstemming over een gemeenschappelijke interpretatie, consistente toepassing en harmonieuze uitvoering binnen de Unie van de bepalingen van hoofdstuk IV;
(g) zij wisselen onderling en met de Commissie beste praktijken uit en verlenen elkaar bijstand bij het opbouwen van capaciteit op het gebied van NIB;	(g) zij wisselen onderling en met de Commissie beste praktijken uit en verlenen elkaar bijstand bij het opbouwen van capaciteit op het gebied van NIB;
(h) zij organiseren regelmatig collegiale toetsingen met betrekking tot capaciteit en paraatheid;	(h) zij organiseren regelmatig collegiale toetsingen met betrekking tot capaciteit en paraatheid;
(i) zij organiseren NIB-oefeningen op het niveau van de Unie en nemen indien passend deel aan internationale NIB-oefeningen.	(i) zij organiseren NIB-oefeningen op het niveau van de Unie en nemen indien passend deel aan internationale NIB-oefeningen;
	(i bis) zij bevorderen actief de betrokkenheid van de marktdeelnemers, raadplegen hen en wisselen informatie met hen uit.
	De Commissie stelt het samenwerkingsnetwerk regelmatig op de hoogte van het beveiligingsonderzoek en andere relevante programma's in het kader van Horizon 2020.
	3 bis. Waar dit dienstig is, worden relevante overheden en marktdeelnemers uitgenodigd om deel te nemen aan de in lid 3, letters (c), (g), (h) en (i), genoemde activiteiten van het samenwerkingsnetwerk.
	3 ter. Wanneer van marktdeelnemers of overheden afkomstige informatie, vroegtijdige waarschuwingen of beste praktijken worden uitgewisseld in of openbaar gemaakt door het samenwerkingsnetwerk, gebeurt deze uitwisseling of openbaarmaking overeenkomstig de door de oorspronkelijke bron op grond van artikel 9, lid 1, vastgestelde informatieclassificatie.
	3 quater. De Commissie publiceert elk jaar een verslag over de voorafgaande twaalf maanden, dat gebaseerd is op de activiteiten van het netwerk en het overeenkomstig artikel 14, lid 4, van deze richtlijn ingediende samenvattende verslag. Bij de bekendmaking van aan de bevoegde autoriteiten en contactpunten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, naar behoren worden afgewogen tegen de mogelijke commerciële en imagoschade voor de marktdeelnemers die die incidenten hebben gemeld, en moet altijd vooraf raadpleging plaatsvinden.
4. De Commissie stelt, door middel van uitvoeringshandelingen, de nodige maatregelen vast om de in de leden 2 en 3 bedoelde samenwerking tussen de bevoegde autoriteiten en de Commissie te faciliteren. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 19, lid 2, bedoelde raadplegingsprocedure.	4. De Commissie stelt, door middel van uitvoeringshandelingen, de nodige maatregelen vast om de in de leden 2 en 3 bedoelde samenwerking tussen de contactpunten, ENISA en de Commissie te faciliteren. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 19, lid 2, bedoelde raadplegingsprocedure.
Amendement  75 Voorstel voor een richtlijn Artikel 9 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De uitwisseling van gevoelige en vertrouwelijke informatie binnen het samenwerkingsnetwerk moet plaatsvinden via een beveiligde infrastructuur.	1. De uitwisseling van gevoelige en vertrouwelijke informatie binnen het samenwerkingsnetwerk moet plaatsvinden via een beveiligde, onder toezicht van ENISA geëxploiteerde infrastructuur. De lidstaten zorgen ervoor dat door andere staten of de Commissie gedeelde gevoelige of geheime informatie niet met derde landen wordt gedeeld en niet voor oneigenlijke doeleinden, bijvoorbeeld activiteiten van geheime diensten of economische beslissingen, wordt gebruikt.
Amendement  76 Voorstel voor een richtlijn Artikel 9 – lid 2 – inleidende formule
Door de Commissie voorgestelde tekst	Amendement
2. De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handelingen vast te stellen met betrekking tot de bepaling van de criteria die een lidstaat moet nakomen om aan het beveiligde informatie-uitwisselingsnetwerk te mogen deelnemen, wat betreft:	2. De Commissie is bevoegd overeenkomstig artikel 19 uitvoeringshandelingen vast te stellen met betrekking tot de bepaling van de criteria die een contactpunt moet nakomen om aan het beveiligde informatie-uitwisselingsnetwerk te mogen deelnemen, wat betreft:
Amendement  77 Voorstel voor een richtlijn Artikel 9 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De Commissie stelt, door middel van uitvoeringshandelingen, besluiten inzake de toegang van de lidstaten tot deze beveiligde infrastructuur vast, krachtens de in de leden 2 en 3 bedoelde criteria. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.	3. De Commissie stelt, door middel van uitvoeringshandelingen, een gemeenschappelijk pakket interconnecties en beveiligingsnormen vast waar de contactpunten zich aan moeten houden bij het uitwisselen van informatie. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.
Amendement  78 Voorstel voor een richtlijn Artikel 10
Door de Commissie voorgestelde tekst	Amendement
1. De bevoegde autoriteiten of de Commissie geven binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over risico's en incidenten die aan ten minste een van de volgende voorwaarden voldoen:	1. De contactpunten of de Commissie geven binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over risico's en incidenten die aan ten minste een van de volgende voorwaarden voldoen:
(a) zij nemen snel in omvang toe of kunnen snel in omvang toenemen;
(b) zij gaan de nationale reactiecapaciteit te boven of kunnen die te boven gaan;	(b) het contactpunt concludeert dat het risico of incident snel in omvang toeneemt of kan toenemen en de nationale reactiecapaciteit potentieel te boven gaat;
(c) zij treffen meer dan een lidstaat of kunnen meer dan een lidstaat treffen.	(c) de contactpunten of de Commissie concluderen dat het risico of incident meer dan een lidstaat treft.
2. De bevoegde autoriteiten en de Commissie doen de vroegtijdige waarschuwingen vergezeld gaan van alle relevante informatie waarover zij beschikken die nuttig kan zijn voor de beoordeling van het risico of incident.	2. De contactpunten en de Commissie doen de vroegtijdige waarschuwingen onverwijld vergezeld gaan van alle relevante informatie waarover zij beschikken die nuttig kan zijn voor de beoordeling van het risico of incident. Door de betrokken marktdeelnemer als gerubriceerd of vertrouwelijk beschouwde informatie en de identiteit van de marktdeelnemer worden alleen meegedeeld voor zover dat nodig is voor de beoordeling van het risico of het incident.
3. De Commissie kan op verzoek van een lidstaat of op eigen initiatief een lidstaat verzoeken relevante informatie te verstrekken over een specifiek risico of incident.	3. De Commissie kan op verzoek van een lidstaat of op eigen initiatief een lidstaat verzoeken relevante niet-gerubriceerde informatie te verstrekken over een specifiek risico of incident.
4. Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van criminele aard is, stellen de bevoegde autoriteiten of de Commissie het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol in kennis.	4. Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van ernstige criminele aard is, stellen de contactpunten of de Commissie zich in voorkomend geval in verbinding met de nationale autoriteiten voor cybercriminaliteit om hen in staat te stellen onverwijld samenwerking te zoeken en informatie uit te wisselen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol.
	4 bis. De leden van het samenwerkingsnetwerk maken informatie over risico’s en incidenten zoals bedoeld in lid 1 alleen openbaar na voorafgaande toestemming daartoe van het contactpunt waarvan zij die informatie hebben ontvangen.
	4 ter. Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van ernstige grensoverschrijdende technische aard is, stellen de contactpunten of de Commissie ENISA in kennis.
5. De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handelingen vast te stellen met betrekking tot de verdere omschrijving van de risico's en incidenten die aanleiding geven tot de in lid 1 bedoelde vroegtijdige waarschuwingen.	5. De Commissie is bevoegd overeenkomstig artikel 19 uitvoeringshandelingen vast te stellen met betrekking tot de verdere omschrijving van de risico's en incidenten die aanleiding geven tot de in lid 1 bedoelde vroegtijdige waarschuwingen, alsook met betrekking tot de procedures voor het delen van voor marktdeelnemers gevoelige informatie.
Amendement  79 Voorstel voor een richtlijn Artikel 11 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Na een in artikel 10 bedoelde vroegtijdige waarschuwing komen de bevoegde autoriteiten, na de relevante informatie te hebben beoordeeld, een gecoördineerde reactie overeen overeenkomstig het in artikel 12 bedoelde NIB-plan van de Unie.	1. Na een in artikel 10 bedoelde vroegtijdige waarschuwing komen de contactpunten, na de relevante informatie te hebben beoordeeld, onverwijld een gecoördineerde reactie overeen overeenkomstig het in artikel 12 bedoelde NIB-plan van de Unie.
Amendement  80 Voorstel voor een richtlijn Artikel 12 – lid 2 – letter a – streepje 1
Door de Commissie voorgestelde tekst	Amendement
- een bepaling van het formaat en de procedures voor de vergaring en de uitwisseling van compatibele en vergelijkbare informatie over risico's en incidenten door de bevoegde autoriteiten;	- een bepaling van het formaat en de procedures voor de vergaring en de uitwisseling van compatibele en vergelijkbare informatie over risico's en incidenten door de contactpunten;
Amendement  81 Voorstel voor een richtlijn Artikel 12 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. Het NIB-samenwerkingsplan van de Unie wordt uiterlijk een jaar na de inwerkingtreding van deze richtlijn vastgesteld en wordt regelmatig getoetst.	3. Het NIB-samenwerkingsplan van de Unie wordt uiterlijk een jaar na de inwerkingtreding van deze richtlijn vastgesteld en wordt regelmatig getoetst. De resultaten van iedere toetsing worden aan het Europees Parlement meegedeeld.
Amendement  82 Voorstel voor een richtlijn Artikel 12 – lid 3 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	3 bis. De Commissie zorgt voor financiële middelen voor de ontwikkeling van het NIB-samenwerkingsplan van de Unie.
Amendement  83 Voorstel voor een richtlijn Artikel 13 – alinea 1
Door de Commissie voorgestelde tekst	Amendement
Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenweringsnetwerk mogelijk wordt gemaakt en georganiseerd. Zulke overeenkomsten houden rekening met de noodzaak om afdoende bescherming te waarborgen van de persoonsgegevens die in het samenwerkingsnetwerk circuleren.	Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenwerkingsnetwerk mogelijk wordt gemaakt en georganiseerd. In deze overeenkomsten wordt de controleprocedure beschreven die moet worden toegepast om de bescherming te waarborgen van de persoonsgegevens die in het samenwerkingsnetwerk circuleren. Het Europees Parlement wordt op de hoogte gehouden van de onderhandelingen over de overeenkomsten, waarvan de transparantie gewaarborgd moet zijn. De overdracht van persoonsgegevens aan ontvangers in landen buiten de Unie vindt plaats overeenkomstig de artikelen 25 en 26 van Richtlijn 95/46/EG en artikel 9 van Verordening (EG) nr. 45/2001.
Motivering
De internationale overeenkomsten met andere landen of veiligheidsagentschappen moeten verplicht een controlemechanisme omvatten om de eerbiediging van de burgerrechten te waarborgen. Bovendien moet er effectief democratisch toezicht op de overeenkomsten worden uitgeoefend door het Europees Parlement, dat naar behoren in kennis moet worden gesteld van de inhoud van de onderhandelingen over een overeenkomst.
Amendement  84 Voorstel voor een richtlijn Artikel 14
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten zorgen ervoor dat overheden en marktdeelnemers passende technische en organisatorische maatregelen nemen ter beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Deze maatregelen zorgen, rekening houdend met de meest recente technische mogelijkheden, voor een beveiligingsniveau dat is afgestemd op de risico's die zich voordoen. Overheden en marktdeelnemers nemen met name maatregelen om de impact te voorkomen en te minimaliseren van incidenten met betrekking tot hun netwerk- en informatiesysteem op de door hen verleende kerndiensten en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten.	1. De lidstaten zorgen ervoor dat de marktdeelnemers passende technische en organisatorische maatregelen nemen met het oog op de opsporing en doeltreffende beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Deze passende maatregelen zorgen, rekening houdend met de technologische ontwikkeling, voor een beveiligingsniveau dat is afgestemd op de risico's die zich voordoen. Er worden met name maatregelen genomen om incidenten die de beveiliging van netwerk- en informatiesystemen aantasten, te voorkomen en de gevolgen ervan voor de door hen verleende kerndiensten te minimaliseren en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten.
2. De lidstaten zorgen ervoor dat overheden en marktdeelnemers incidenten met een aanzienlijke impact op de beveiliging van de door hen verleende kerndiensten aan de bevoegde autoriteiten melden.	2. De lidstaten voeren regelingen in om ervoor te zorgen dat de marktdeelnemers incidenten met een impact op de beveiliging of de continuïteit van de door hen verleende kerndiensten aan de bevoegde autoriteit of het contactpunt melden. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid. Om te bepalen of de impact van een incident aanzienlijk is, worden o.a. de volgende parameters in aanmerking genomen:
	(a) het aantal gebruikers bij wie de kerndienst gestoord is;
	(b) de duur van het incident;
	(c) geografische ligging van het door het incident getroffen gebied.
	Deze criteria worden verder verduidelijkt in overeenstemming met artikel 8, lid 3, onder c bis) (nieuw).
	2 bis. Entiteiten die niet onder bijlage II vallen, kunnen incidenten, als bedoeld in artikel 14, lid 2, vrijwillig melden.
	2 ter. De ontvanger van een incidentmelding stelt zo snel mogelijk de entiteit die het incident heeft gemeld, op de hoogte van de uitgevoerde maatregelen, de genomen besluiten of de verstrekte aanbevelingen, alsook van de derden die in kennis zijn gesteld, en van de beveiligings- en vertrouwelijkheidsprotocollen die op de informatie-uitwisseling van toepassing zijn.
3. De eisen van de leden 1 en 2 zijn van toepassing op alle marktdeelnemers die diensten verlenen in de Europese Unie.	3. De eisen van de leden 1 en 2 zijn van toepassing op alle marktdeelnemers die diensten verlenen in de Europese Unie. Marktdeelnemers die geen diensten verlenen in de Europese Unie, kunnen incidenten vrijwillig melden.
	3 bis. De lidstaten dragen er zorg voor dat de marktdeelnemers de in de leden 1 en 2 bedoelde incidenten melden aan de bevoegde autoriteit of het contactpunt in de lidstaat waar de kerndienst gestoord is. Indien de kerndiensten in meer dan een lidstaat zijn gestoord, waarschuwt het contactpunt dat de melding heeft ontvangen, op basis van de door de marktdeelnemer verstrekte informatie de andere betrokken contactpunten. De marktdeelnemer wordt zo snel mogelijk in kennis gesteld van de andere contactpunten die op de hoogte zijn gesteld van het incident, en van de eventueel ondernomen stappen, resultaten en andere voor het incident relevante informatie.
4. De bevoegde autoriteit kan het publiek informeren of overheden en marktdeelnemers daartoe verplichten wanneer zij oordeelt dat openbaarmaking van het incident in het algemeen belang is. Eenmaal per jaar dient de bevoegde autoriteit bij het samenwerkingsnetwerk een samenvattend verslag in over de meldingen die zij heeft ontvangen en de maatregelen die overeenkomstig dit lid zijn genomen.	4. Na raadpleging van de bevoegde autoriteit en de betrokken marktdeelnemer informeert het contactpunt het publiek over afzonderlijke incidenten, indien het van oordeel is dat de algemeenheid op de hoogte moet zijn om een incident te voorkomen of een zich voordoend incident aan te pakken, om burgers in staat te stellen de risico's voor henzelf ten gevolge van een incident te beperken, of indien de marktdeelnemer die met een incident te maken heeft, heeft geweigerd om een ernstig, structureel kwetsbaar punt in verband met dat incident onverwijld te verhelpen. Het contactpunt motiveert een dergelijk besluit terdege. De bevoegde autoriteit of het contactpunt verstrekt, indien dit redelijkerwijs mogelijk is, de marktdeelnemers die het incident hebben gemeld, strategische geanalyseerde informatie die dienstig is bij het oplossen van de bedreiging voor de beveiliging. Tweemaal per jaar dient het contactpunt bij het samenwerkingsnetwerk een samenvattend verslag in over de meldingen die het heeft ontvangen en de maatregelen die overeenkomstig dit lid zijn genomen. Bij de bekendmaking van aan de bevoegde autoriteiten en contactpunten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, naar behoren worden afgewogen tegen de mogelijke commerciële en imagoschade voor de marktdeelnemers die die incidenten hebben gemeld, en moet altijd vooraf raadpleging plaatsvinden.
	In geval van aan het in artikel 8 bedoelde samenwerkingsnetwerk gemelde incidenten maken andere nationale bevoegde overheden de informatie die zij ontvangen over risico's of incidenten niet openbaar, tenzij de bevoegde autoriteit die de melding heeft gedaan hiervoor toestemming heeft verleend.
5. De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handeling vast te stellen met betrekking tot de omschrijving van de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden.
6. Onverminderd elke krachtens lid 5 vastgestelde gedelegeerde handeling kunnen de bevoegde autoriteiten richtsnoeren vaststellen en, zo nodig, instructies geven met betrekking tot de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden.	6. De bevoegde autoriteiten of de contactpunten stellen richtsnoeren vast met betrekking tot de omstandigheden waarin marktdeelnemers incidenten moeten melden.
7. De Commissie is bevoegd om, door middel van gedelegeerde handelingen, de formaten en procedures die gelden voor de toepassing van lid 2 vast te stellen. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.	7. De Commissie is bevoegd om, door middel van gedelegeerde handelingen, de formaten en procedures die gelden voor de toepassing van lid 2 vast te stellen. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.
8. De leden 1 en 2 zijn niet van toepassing op micro-ondernemingen zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen35.	8. De leden 1 en 2 zijn niet van toepassing op micro-ondernemingen zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen35.
_______________	______________
35 PB L 124 van 20.5.2003, blz. 36.	35 PB L 124 van 20.5.2003, blz. 36.
Amendement  85 Voorstel voor een richtlijn Artikel 14 – lid 4 – alinea 1 (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	Naast hun melding aan de bevoegde autoriteit worden marktdeelnemers aangemoedigd om incidenten waarbij hun bedrijf betrokken is, op vrijwillige basis in hun financiële verslagen op te nemen.
Motivering
Cyberincidenten kunnen tot grote financiële verliezen en aanzienlijke kosten leiden. Aandeelhouders en investeerders moeten in kennis worden gesteld van de gevolgen van deze incidenten. Door bedrijven aan te moedigen op vrijwillige basis cyberincidenten openbaar te maken kan de sectoroverstijgende discussie worden gestimuleerd over de waarschijnlijkheid van toekomstige incidenten, de omvang van deze risico's, alsook de geschiktheid van preventieve maatregelen ter vermindering van inbreuken in verband met de cyberbeveiliging.
Amendement  86 Voorstel voor een richtlijn Artikel 15
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de nodige bevoegdheden hebben om niet-naleving van de krachtens artikel 14 op overheden of marktdeelnemers rustende verplichtingen en de effecten daarvan op de beveiliging van netwerken en informatiesystemen te onderzoeken.	1. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de nodige bevoegdheden hebben om te zorgen voor de naleving van de in artikel 14 bedoelde verplichtingen en de effecten daarvan op de beveiliging van netwerken en informatiesystemen.
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de bevoegdheid hebben om marktnemers en overheden ertoe te verplichten:	2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de bevoegdheid hebben om marktnemers ertoe te verplichten:
(a) de informatie te verschaffen die nodig is om de beveiliging van hun netwerken en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging;	(a) de informatie te verschaffen die nodig is om de beveiliging van hun netwerken en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging;
(b) een door een gekwalificeerde onafhankelijke instantie of nationale autoriteit uitgevoerde beveiligingsaudit te ondergaan en de resultaten daarvan ter beschikking te stellen van de bevoegde autoriteit.	(b) het bewijs te leveren dat het beveiligingsbeleid daadwerkelijk wordt uitgevoerd, bijvoorbeeld door middel van de resultaten van een door interne accountants, een gekwalificeerde onafhankelijke instantie of nationale autoriteit uitgevoerde beveiligingsaudit, en het bewijs ter beschikking te stellen van de bevoegde autoriteit of het contactpunt. Zo nodig kan de bevoegde autoriteit of het contactpunt om aanvullend bewijs verzoeken of, bij wijze van uitzondering, en na overlegging van een passende rechtvaardiging, een aanvullende audit uitvoeren.
	Bij het toezenden van dat verzoek vermelden de bevoegde autoriteiten en de contactpunten het doel van het verzoek en specificeren in voldoende mate welke informatie moet worden verstrekt.
3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de bevoegdheid hebben om marktdeelnemers en overheden bindende instructies te geven.	3. De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de bevoegdheid hebben om alle in bijlage II bedoelde marktnemers bindende instructies te geven.
4. De bevoegde autoriteiten melden de autoriteiten voor wetshandhaving incidenten waarvan wordt vermoed dat zij van ernstig criminele aard zijn.	4. De bevoegde autoriteiten en de contactpunten informeren de betrokken marktdeelnemers over de mogelijkheid om justitie te vragen een strafrechtelijk onderzoek in te stellen indien zij vermoeden dat zich een incident van ernstig criminele aard heeft voorgedaan.
5. De bevoegde autoriteiten werken nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben.	5. Onverminderd de van toepassing zijnde wetgeving inzake gegevensbescherming werken de bevoegde autoriteiten en de contactpunten nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben. De contactpunten en de autoriteiten voor gegevensbescherming ontwikkelen in samenwerking met ENISA informatie-uitwisselingsmechanismen en een eenvormig meldingsmodel dat moet worden gebruikt voor meldingen zowel uit hoofde van artikel 14, lid 2, van deze richtlijn, als uit hoofde van Verordening 95/46 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
	De Commissie kan door middel van uitvoeringshandelingen en in samenwerking met ENISA procedures goedkeuren voor de informatie-uitwisselingsmechanismen en het formaat van het eenvormige meldingsmodel, waarbij zij in hoge mate rekening houdt met de informatie-uitwisselingsmechanismen en eenvormige meldingsmodellen die door de contactpunten en de autoriteiten voor gegevensbescherming zijn ontwikkeld.
6. De lidstaten zorgen ervoor dat uit hoofde van dit hoofdstuk aan overheden en marktdeelnemers opgelegde verplichtingen aan rechterlijke toetsing kunnen worden onderworpen.	6. De lidstaten zorgen ervoor dat uit hoofde van dit hoofdstuk aan marktdeelnemers opgelegde verplichtingen aan rechterlijke toetsing kunnen worden onderworpen.
Amendement  87 Voorstel voor een richtlijn Artikel 16
Door de Commissie voorgestelde tekst	Amendement
1. Met het oog op de geharmoniseerde uitvoering van artikel 14, lid 1, moedigen de lidstaten het gebruik van normen en/of specificaties voor netwerk- en informatiebeveiliging aan.	1. Met het oog op de geharmoniseerde uitvoering van artikel 14, lid 1, moedigen de lidstaten het gebruik van open en interoperabele internationale en EU-normen en/of specificaties voor netwerk- en informatiebeveiliging aan die aan de EU-wetgeving voldoen, zonder daarbij evenwel het gebruik van een specifieke technologie voor te schrijven.
2. De Commissie stelt, door middel van uitvoeringshandelingen, een lijst op van de in lid 1 bedoelde normen. De lijst wordt bekendgemaakt in het Publicatieblad van de Europese Unie.	2. De Commissie verstrekt een mandaat aan een passende Europese normalisatie-instantie om in overleg met de relevante belanghebbenden een lijst op te stellen van de in lid 1 bedoelde normen en/of specificaties. De lijst wordt bekendgemaakt in het Publicatieblad van de Europese Unie.
Amendement  88 Voorstel voor een richtlijn Artikel 17 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten stellen regels vast voor sancties op overtredingen op nationale bepalingen die ingevolge deze richtlijn zijn vastgesteld, en nemen alle nodige maatregelen om ervoor te zorgen dat zij worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie uiterlijk op de omzettingsdatum van deze richtlijn van deze bepalingen in kennis en delen haar eventuele latere wijzigingen onverwijld mee.	1. De lidstaten stellen regels vast voor sancties op nalatige en opzettelijke overtredingen op nationale bepalingen die ingevolge deze richtlijn zijn vastgesteld, en nemen alle nodige maatregelen om ervoor te zorgen dat zij worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie uiterlijk op de omzettingsdatum van deze richtlijn van deze bepalingen in kennis en delen haar eventuele latere wijzigingen onverwijld mee.
Motivering
Het moet duidelijk zijn dat er alleen sancties kunnen worden opgelegd voor overtredingen indien marktdeelnemers niet alle maatregelen hebben genomen die redelijkerwijs van hen hadden kunnen worden verwacht. Anders kan dit marktdeelnemers ervan weerhouden om incidenten te melden.
Amendement  89 Voorstel voor een richtlijn Artikel 17 – lid 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	1 bis. De lidstaten zien erop toe dat de in lid 1 bedoelde sancties alleen worden toegepast indien de marktdeelnemer zich opzettelijk of ten gevolge van grove nalatigheid niet heeft gehouden aan zijn verplichtingen uit hoofde van hoofdstuk IV.
Amendement  90 Voorstel voor een richtlijn Artikel 18
Door de Commissie voorgestelde tekst	Amendement
Artikel 18	Schrappen
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De bevoegdheid om de in artikel 9, lid 2, artikel 10, lid 5, en artikel 14, lid 5, bedoelde gedelegeerde handelingen vast te stellen, wordt aan de Commissie verleend. De Commissie stelt uiterlijk negen maanden vóór het einde van de termijn van 5 jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.
3. Het Europees Parlement of de Raad kan de in artikel 9, lid 2, artikel 10, lid 5, en artikel 14, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheden. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
5. Een overeenkomstig artikel 9, lid 2, artikel 10, lid 5, en artikel 14, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement of de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen geen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van de termijn van twee maanden de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.
Amendement  91 Voorstel voor een richtlijn Artikel 20 – alinea 1
Door de Commissie voorgestelde tekst	Amendement
De Commissie evalueert de werking van deze richtlijn en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk drie jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken.	De Commissie evalueert om de drie jaar de werking van deze richtlijn en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk twee jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken.
Motivering
Om de alsmaar veranderende dreigingen en omstandigheden op de voet te kunnen volgen wordt bijlage II regelmatig herzien en aangepast.
Amendement  92 Voorstel voor een richtlijn Bijlage I – kopje 1
Door de Commissie voorgestelde tekst	Amendement
Voorschriften en taken voor het computercrisisteam (CERT)	Voorschriften en taken voor computercrisisteams (CERT's)
Amendement  93 Voorstel voor een richtlijn Bijlage I – alinea 1 – inleidende formule
Door de Commissie voorgestelde tekst	Amendement
De voorschriften en taken voor het CERT moeten adequaat en duidelijk worden gedefinieerd en worden ondersteund door nationale beleids- en/of regelgevingsmaatregelen. Deze dienen de volgende elementen te omvatten:	De voorschriften en taken voor de CERT's moeten adequaat en duidelijk worden gedefinieerd en worden ondersteund door nationale beleids- en/of regelgevingsmaatregelen. Deze dienen de volgende elementen te omvatten:
	(Dit amendement is van toepassing op de gehele tekst van bijlage I.)
Amendement  94 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 1 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) het CERT garandeert een hoge mate van beschikbaarheid van zijn communicatiediensten door zwakke punten (single points of failure) te voorkomen, en kan langs diverse kanalen worden bereikt of contact opnemen. Bovendien moeten de communicatiekanalen duidelijk worden gespecificeerd en bekend zijn bij de CERT-gebruikers (constituency) en de samenwerkingspartners;	(a) de CERT's garanderen een hoge mate van beschikbaarheid van hun communicatiediensten door zwakke punten (single points of failure) te voorkomen, en kunnen te allen tijd langs diverse kanalen worden bereikt of contact opnemen. Bovendien moeten de communicatiekanalen duidelijk worden gespecificeerd en bekend zijn bij de CERT-gebruikers (constituency) en de samenwerkingspartners;
Amendement  95 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 1 – letter c
Door de Commissie voorgestelde tekst	Amendement
(c) de kantoren van het CERT en de ondersteunende informatiesystemen moeten zich op beveiligde locaties bevinden;	(c) de kantoren van de CERT's en de ondersteunende informatiesystemen moeten zich op beveiligde locaties bevinden die voorzien zijn van beveiligde netwerkinformatiesystemen;
Amendement  96 Voorstel voor een richtlijn Bijlage I – alinea 1 – punt 2 – letter a – streepje 1
Door de Commissie voorgestelde tekst	Amendement
- monitoren van incidenten op nationaal niveau,	- opsporen en monitoren van incidenten op nationaal niveau,
Amendement  97 Voorstel voor een richtlijn Bijlage 1 – alinea 1 – punt 2 – letter a – streepje 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	- actief participeren in uniale en internationale CERT-samenwerkingsnetwerken
Amendement  98 Voorstel voor een richtlijn Bijlage II
Door de Commissie voorgestelde tekst	Amendement
Lijst van marktdeelnemers	Lijst van marktdeelnemers
1. Energie	1. Energie
	(a) Elektriciteit
	- leveranciers
	- exploitanten van distributiesystemen en aan de eindconsument leverende retailers
	- exploitanten van elektriciteitstransmissiesystemen
	- exploitanten die actief zijn op de elektriciteitsmarkt
	(b) Aardolie
	- oliepijpleidingen en olieopslag
	- exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie, opslag en transport
	(c) Gas
	- leveranciers
	- exploitanten van distributiesystemen en aan de eindconsument leverende retailers
	- exploitanten van aardgastransmissiesystemen, exploitanten van opslagsystemen en exploitanten van LNG-systemen
	- exploitanten van voorzieningen voor de productie, raffinage en behandeling van aardgas, opslagfaciliteiten en transmissie
	- exploitanten die actief zijn op de gasmarkt.
2. Vervoer	2. Vervoer
	(a) Wegvervoer
	(i) exploitanten op het gebied van verkeersbeheer en -controle
	(ii) ondersteunende logistieke diensten:
	- opslag
	- vrachtafhandeling
	- overige vervoerondersteunende activiteiten
	(b) Spoorvervoer
	(i) spoorwegbedrijven (infrastructuurbeheerders, geïntegreerde bedrijven en exploitanten van spoorvervoer)
	(ii) exploitanten op het gebied van verkeersbeheer en -controle
	(iii) ondersteunende logistieke diensten:
	- opslag
	- vrachtafhandeling
	- overige vervoerondersteunende activiteiten
	(c) Luchtvervoer
	(i) luchtvaartmaatschappijen (voor vracht en passagiers)
	(ii) luchthavens
	(iii) exploitanten op het gebied van verkeersbeheer en -controle
	(iv) ondersteunende logistieke diensten:
	- opslag van goederen
	- vrachtafhandeling
	- overige vervoerondersteunende activiteiten
	(d) Zeevervoer
	(i) bedrijven voor maritiem vervoer (binnenvaart, kust- en zeevervoer van passagiers en vracht)
	(ii) havens
	(iii) exploitanten op het gebied van verkeersbeheer en -controle
	(iv) ondersteunende logistieke diensten:
	- opslag
	- vrachtafhandeling
	- overige vervoerondersteunende activiteiten.
	2 bis. Waterdiensten.
3. Bankwezen: kredietinstellingen in de zin van artikel 4, punt 1, van Richtlijn 2006/48/EG.	3. Bankwezen: kredietinstellingen in de zin van artikel 4, punt 1, van Richtlijn 2006/48/EG.
4. Infrastructuur voor de financiële markt: beurzen en als centrale tegenpartij fungerende clearinginstellingen.	4. Infrastructuur voor de financiële markt: gereglementeerde markten, multilaterale handelsfaciliteiten, georganiseerde handelsfaciliteiten, gateways voor internetbetalingen en als centrale tegenpartij fungerende clearinginstellingen.
5. Gezondheidszorg: zorginstellingen (waaronder ziekenhuizen en privéklinieken) en andere zorgverleners.	5. Gezondheidszorg: zorginstellingen (waaronder ziekenhuizen en privéklinieken) en andere zorgverleners.
	6. ICT: Cloudcomputingdiensten waarvan een exploitant gebruik maakt om diensten als bedoeld in de punten 1-5 te verlenen.
	Deze lijst wordt om de twee jaar herzien.

PROCEDURE

Titel	Gemeenschappelijk hoog niveau van netwerk- en informatieveiligheid in de Unie
Document- en procedurenummers	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Commissie ten principale        Datum bekendmaking	IMCO 15.4.2013
Advies uitgebracht door        Datum bekendmaking	ITRE 15.4.2013
Medeverantwoordelijke commissie(s) - datum bekendmaking	12.9.2013
Rapporteur voor advies        Datum benoeming	Pilar del Castillo Vera 23.5.2013
Behandeling in de commissie	14.10.2013	4.11.2013
Datum goedkeuring	16.12.2013
Uitslag eindstemming	+: –: 0:	36 5 0
Bij de eindstemming aanwezige leden	Amelia Andersdotter, Josefa Andrés Barea, Bendt Bendtsen, Fabrizio Bertot, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Romana Jordan, Philippe Lamberts, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Teresa Riera Madurell, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Evžen Tošenovský, Claude Turmes, Marita Ulvskog, Vladimir Urutchev
Bij de eindstemming aanwezige vaste plaatsvervanger(s)	Daniel Caspary, António Fernando Correia de Campos, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Eija-Riitta Korhola, Holger Krahmer, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Lambert van Nistelrooij
Bij de eindstemming aanwezige plaatsvervanger(s) (art. 187, lid 2)	María Auxiliadora Correa Zamora

ADVIES van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken* (15.1.2014)

aan de Commissie interne markt en consumentenbescherming

inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Rapporteur voor advies: Carl Schlyter

BEKNOPTE MOTIVERING

Het voorstel is gericht op het bereiken van een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging binnen de EU. De rapporteur steunt de doelstellingen in het voorstel en beveelt amendementen aan om te zorgen voor meer rechtszekerheid en versterkte waarborgen en bescherming van individuele personen en hun persoonlijke levenssfeer, teneinde te verzekeren dat personen de controle over hun persoonlijke gegevens en vertrouwen in de digitale omgeving hebben, en teneinde een cultuur van risicobeheer te creëren en de informatie-uitwisseling tussen particuliere en overheidsactoren te verbeteren.

De voorgestelde amendementen zijn gericht op de versterking van de verwijzingen naar wetgeving inzake gegevensbescherming, de verduidelijking van het feit dat "kritieke infrastructuur" geen sociaalnetwerksites en internetwinkels die applicaties aanbieden dient te omvatten (zie gewijzigde lijst in bijlage II), en de garantie dat het evenredigheidsbeginsel wordt nageleefd, door het civiele aspect van de onderneming te benadrukken: de meeste verstoringen en de meest voorkomende oorzaken van systeemstoringen zijn geen opzettelijke cyberaanvallen van terroristen, criminelen of buitenlandse spionnen, maar onopzettelijke, menselijke fouten en natuurlijke oorzaken. Het is van cruciaal belang dat de EU onderscheid maakt tussen de tenuitvoerlegging van de voorgestelde wetgeving en elke vorm van militarisering van het onderwerp, door de doelen van de beveiligings- en toezichtindustrie niet in aanmerking te nemen en rekening te houden met de context van een mondiale digitale markt.

Een belangrijke resterende bezorgdheid betreft de verhouding tussen het voorgestelde systeem en het in de algemene verordening gegevensbescherming voorgestelde meldingssysteem, en de effectieve co-existentie van beide systemen. Dit is een van de redenen waarom we benadrukken dat alle EU-wetgeving inzake cyberbeveiliging moet volgen op -en niet voorafgaan aan- de goedkeuring van de algemene verordening gegevensbescherming. Voorts moet rekening worden gehouden met de daadwerkelijke financiële en administratieve gevolgen, met inbegrip van de totale kosten voor de maatschappij en niet alleen de kosten van het maken van een melding. Softwarebedrijven die slordig programmeren en dus geld besparen doordat zij hun klanten bekendmaken, kunnen niet in alle gevallen worden beschermd door de bepaling in gebruikersvoorwaarden waarin zij stellen op geen enkele wijze verantwoordelijk te zijn voor storingen in hun software. Zij moeten worden gestimuleerd om ervoor te zorgen dat ze redelijk veilig zijn. Tot slot moeten belangrijke concepten worden verduidelijkt en niet voor interpretatie aan de lidstaten worden overgelaten (zoals de betekenis van "overheden", "aanzienlijke impact" en een concrete definitie van "cybercriminaliteit").

AMENDEMENTEN

De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken verzoekt de ten principale bevoegde Commissie interne markt en consumentenbescherming onderstaande amendementen in haar verslag op te nemen:

Amendement  1 Voorstel voor een richtlijn Overweging 1
Door de Commissie voorgestelde tekst	Amendement
(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt.	(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de economische bedrijvigheid, het sociaal welzijn, de communicatie en de uitwisseling tussen mensen, organisaties uit het maatschappelijk middenveld en ondernemingen en voor de bescherming en eerbiediging van de persoonlijke levenssfeer en de persoonsgegevens.
Amendement  2 Voorstel voor een richtlijn Overweging 2
Door de Commissie voorgestelde tekst	Amendement
(2) De omvang en frequentie van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen.	(2) De omvang en frequentie van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen. Er is een groeiend besef dat controlesystemen kwetsbaar zijn voor cyberaanvallen van talrijke bronnen, waaronder vijandige regeringen, terroristische groeperingen en andere kwaadwillige indringers. Slimme aanvallen en gecoördineerde aanvallen kunnen ernstige gevolgen hebben voor de stabiliteit, prestaties en doelmatigheid van de infrastructuur.
Amendement  3 Voorstel voor een richtlijn Overweging 3
Door de Commissie voorgestelde tekst	Amendement
(3) Als communicatiemiddel zonder grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt.	(3) Als communicatiemiddel zonder grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt en voor de communicatie en de uitwisseling tussen mensen, organisaties uit het maatschappelijk middenveld en ondernemingen.
Amendement  4 Voorstel voor een richtlijn Overweging 3 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(3 bis) Aangezien de meest voorkomende oorzaken van systeemfalen nog altijd onopzettelijk zijn, zoals natuurlijke oorzaken of menselijke fouten, moet infrastructuur veerkrachtig zijn bij zowel opzettelijke als onopzettelijke verstoringen, en moeten exploitanten van kritieke infrastructuur op veerkracht gebaseerde systemen ontwerpen die zelfs bij uitval van andere systemen die buiten hun invloedssfeer liggen, blijven functioneren.
Amendement  5 Voorstel voor een richtlijn Overweging 6 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(6 bis) Het is essentieel de onzekerheid te erkennen die inherent is aan de complexe systemen waarop wij steunen. Hiertoe is het nodig dat degenen die een organisatie beschermen en degenen die de strategische richting ervan bepalen, dezelfde opvatting hebben over wat kritiek is.
Amendement  6 Voorstel voor een richtlijn Overweging 8
Door de Commissie voorgestelde tekst	Amendement
(8) De bepalingen van deze richtlijn moeten de mogelijkheid onverlet laten dat elke lidstaat de nodige maatregelen neemt om voor de bescherming van zijn essentiële veiligheidsbelangen te zorgen, de openbare orde en de openbare veiligheid te garanderen en het onderzoek, de opsporing en de vervolging van misdrijven mogelijk te maken. Overeenkomstig artikel 346 VWEU mag geen enkele lidstaat verplicht worden inlichtingen te verstrekken waarvan de openbaarmaking naar zijn mening strijdig is met wezenlijke veiligheidsbelangen.	(8) De bepalingen van deze richtlijn moeten de mogelijkheid onverlet laten dat elke lidstaat de nodige maatregelen neemt om voor de bescherming van zijn essentiële veiligheidsbelangen te zorgen, de openbare orde en de openbare veiligheid te garanderen en het onderzoek, de opsporing en de vervolging van misdrijven mogelijk te maken, met dien verstande dat dit niet als voorwendsel mag dienen om zich niet te houden aan de meer algemene verplichtingen van elke lidstaat op het vlak van eerbiediging van de persoonlijke levenssfeer en de persoonsgegevens. Overeenkomstig artikel 346 VWEU mag geen enkele lidstaat verplicht worden inlichtingen te verstrekken waarvan de openbaarmaking naar zijn mening strijdig is met wezenlijke veiligheidsbelangen.
Amendement  7 Voorstel voor een richtlijn Overweging 9
Door de Commissie voorgestelde tekst	Amendement
(9) Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op nationaal niveau moeten aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt.	(9) Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op nationaal niveau moeten aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt, met eerbiediging en bescherming van de persoonlijke levenssfeer en de persoonsgegevens.
Amendement  8 Voorstel voor een richtlijn Overweging 10
Door de Commissie voorgestelde tekst	Amendement
(10) Om de doeltreffende uitvoering van de krachtens deze richtlijn vastgestelde bepalingen mogelijk te maken, moet in elke lidstaat een met de coördinatie van NIB-zaken belaste instantie worden opgericht of aangewezen die optreedt als contactpunt voor grensoverschrijdende samenwerking op het niveau van de Unie. Deze instanties moeten de nodige technische, financiële en personele middelen krijgen om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken.	(10) Om de doeltreffende uitvoering van de krachtens deze richtlijn vastgestelde bepalingen mogelijk te maken, moet in elke lidstaat een met de coördinatie van NIB-zaken belaste nationale bevoegde autoriteit onder civiele leiding met volledige democratische controle en transparantie bij haar activiteiten worden opgericht of aangewezen die optreedt als contactpunt voor grensoverschrijdende samenwerking op het niveau van de Unie. Deze instanties moeten de nodige technische, financiële en personele middelen krijgen om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken.
Amendement  9 Voorstel voor een richtlijn Overweging 14 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(14 bis) Steeds meer sectoren passen clouddiensten toe in hun IT-omgeving, zoals IT-diensten die kritieke infrastructuren exploiteren. De vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens in de cloud moeten worden verzekerd door toereikende beveiligingsmaatregelen. De bestaande clouddiensten zijn niet goed in staat te voldoen aan de vereisten op het gebied van beveiliging en veerkracht die noodzakelijk zijn voor het toegankelijk maken van infrastructuurdiensten en de opslag van gevoelige gegevens in de cloudomgeving. Daarom moet worden gewaarborgd dat de cloudcomputingomgeving passende bescherming van de gevoelige gegevens betreffende kritieke infrastructuur kan bieden.
Amendement  10 Voorstel voor een richtlijn Overweging 15
Door de Commissie voorgestelde tekst	Amendement
(15) Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en informatie en beste praktijken uitwisselen in ruil voor operationele steun bij incidenten.	(15) Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en onderling informatie en beste praktijken uitwisselen, alsook wederzijdse operationele steun, indien nodig, bij incidenten.
Amendement  11 Voorstel voor een richtlijn Overweging 15 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(15 bis) De reeds bestaande nationale samenwerkingsmechanismen tussen publieke en particuliere exploitanten moeten zo mogelijk ten volle in acht worden genomen en in overeenstemming zijn met Richtlijn 95/46/EG, en de bepalingen in deze richtlijn mogen dergelijke gevestigde samenwerkingsregelingen niet ondermijnen.
Amendement  12 Voorstel voor een richtlijn Overweging 16
Door de Commissie voorgestelde tekst	Amendement
(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten een gemeenschappelijke website opzetten om niet-vertrouwelijke informatie over de incidenten en risico's bekend te maken.	(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten een gemeenschappelijke website opzetten om niet-vertrouwelijke informatie over de incidenten en risico's tijdig en volledig bekend te maken.
Amendement  13 Voorstel voor een richtlijn Overweging 21
Door de Commissie voorgestelde tekst	Amendement
(21) Gezien het mondiale karakter van NIB-problemen is er behoefte aan nauwere internationale samenwerking om beveiligingsnormen en informatie-uitwisseling te verbeteren en een gemeenschappelijke internationale aanpak van NIB-kwesties te bevorderen.	(21) Gezien het mondiale karakter van NIB-problemen is er behoefte aan nauwere internationale samenwerking om beveiligingsnormen en informatie-uitwisseling te verbeteren en een gemeenschappelijke internationale aanpak van NIB-kwesties te bevorderen, met dien verstande dat de landen waarmee samenwerking wordt beoogd beschikken over instrumenten ter controle en bescherming van gegevens die hetzelfde beveiligingsniveau garanderen als die van de Unie.
Amendement  14 Voorstel voor een richtlijn Overweging 22
Door de Commissie voorgestelde tekst	Amendement
(22) De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij overheden en marktdeelnemers. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van aan de risico's aangepaste beveiligingsmaatregelen behelst. Ook de totstandbrenging van een gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk.	(22) De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij overheden en ondernemingen. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van beveiligingsmaatregelen behelst die beogen te anticiperen op opzettelijke dan wel accidentele veiligheidsincidenten. Wanneer een dergelijke cultuur van risicobeheer reeds bestaat en met name wanneer deze berust op convenanten, moet deze worden gesteund, versterkt en gedeeld. Ook de totstandbrenging van een gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk.
Amendement  15 Voorstel voor een richtlijn Overweging 22 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(22 bis) De overheden en particuliere ondernemingen, waaronder aanbieders van netwerk-, informatie- en softwarediensten, zouden de bescherming van hun informatie- en gegevenssystemen moeten beschouwen als een onderdeel van hun zorgvuldigheidsplicht. Er dient te worden gezorgd voor aangepaste beschermingsniveaus tegen op een redelijke manier te identificeren dreigingen en kwetsbaarheden. De kosten en lasten van dergelijke bescherming dienen de waarschijnlijke schade van een cyberaanval voor de betrokkenen te weerspiegelen.
Amendement  16 Voorstel voor een richtlijn Overweging 26 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(26 bis) Kinderen worden al vanaf zeer jonge leeftijd blootgesteld aan het internet en andere moderne technologieën, alsook aan de bedreigingen die daarmee gepaard gaan. Een goed regelgevingskader voor een kindvriendelijke onlineruimte is van essentieel belang om de potentiële schadelijke effecten zo klein mogelijke te houden en ervoor te zorgen dat de bescherming van kinderen en hun rechten is gewaarborgd.
Amendement  17 Voorstel voor een richtlijn Overweging 28
Door de Commissie voorgestelde tekst	Amendement
(28) De bevoegde autoriteiten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. Bij de bekendmaking van aan de bevoegde autoriteiten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, worden afgewogen tegen mogelijke commerciële en imagoschade voor de overheden en marktdeelnemers die incidenten melden. Bij het nakomen van de meldingsverplichtingen moeten de bevoegde autoriteiten bijzondere aandacht besteden aan de noodzaak om informatie over de kwetsbare punten van producten strikt vertrouwelijk te houden tot er passende herstel- en beveiligingsmaatregelen zijn genomen.	(28) De bevoegde autoriteiten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. Bij de bekendmaking van aan de bevoegde autoriteiten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, zwaarder wegen dan economische overwegingen op korte termijn.
Amendement  18 Voorstel voor een richtlijn Overweging 29 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(29 bis) De georganiseerde misdaad is door frauduleus gebruik van het internet in staat zijn activiteiten met het oog op het witwassen van geld, vervalsing en andere producten en diensten die inbreuk maken op IER, online uit te breiden en te experimenteren met nieuwe criminele activiteiten, en legt bijgevolg een afschrikwekkend vermogen tot aanpassing aan moderne technologieën aan de dag.
Amendement  19 Voorstel voor een richtlijn Overweging 30 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(30 bis) Cybercriminaliteit brengt steeds vaker economische en sociale schade toe aan miljoenen consumenten en de aldus ontstane jaarlijkse verliezen worden geraamd op 290 miljard euro4a.
	__________________
	4a Volgens het "Norton Cybercrime Report 2012".
Amendement  20 Voorstel voor een richtlijn Overweging 33
Door de Commissie voorgestelde tekst	Amendement
(33) De Commissie moet deze richtlijn op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende technologische omstandigheden of marktomstandigheden moeten worden gewijzigd.	(33) De Commissie moet deze richtlijn op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende technologische omstandigheden of marktomstandigheden, van de verplichtingen betreffende het hoogst mogelijke niveau van beveiliging en integriteit van netwerk- en informatiesystemen en van de bescherming van de persoonlijke levenssfeer en de persoonsgegevens moet worden gewijzigd.
Amendement  21 Voorstel voor een richtlijn Overweging 39
Door de Commissie voorgestelde tekst	Amendement
(39) Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten, kan het nodig zijn persoonsgegevens te verwerken. Zulke verwerking van persoonsgegevens is noodzakelijk ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang en is dus gerechtvaardigd uit hoofde van artikel 7 van Richtlijn 95/46/EG. Zij vormt, met betrekking tot deze gerechtvaardigde doelen, geen onevenredige en onduldbare ingreep waardoor het recht op de door artikel 8 van het Handvest van grondrechten gewaarborgde bescherming van persoonsgegevens in zijn kern wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie31 van toepassing zijn. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.	(39) Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten, kan het nodig zijn persoonsgegevens te verwerken. Als zulke verwerking van persoonsgegevens noodzakelijk is ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang, kan zij gerechtvaardigd zijn uit hoofde van artikel 7 van Richtlijn 95/46/EG. De bevoegde autoriteiten worden daardoor echter niet vrijgesteld van de verplichting om proportioneel op te treden, op een manier waarop het recht op de door artikel 8 van het Handvest van grondrechten gewaarborgde bescherming van persoonsgegevens waarschijnlijk niet wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie van toepassing zijn31. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.
__________________	__________________
31 PB L 145 van 31.05.01, blz. 43.	31 PB L 145 van 31.05.01, blz. 43.
Amendement  22 Voorstel voor een richtlijn Overweging 41 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(41 bis) Bij alle maatregelen moet ervoor worden gezorgd dat de fundamentele mensenrechten worden beschermd, in het bijzonder de in het EVRM genoemde rechten (artikel 8, privéleven), en dient het evenredigheidsbeginsel in acht te worden genomen.
Amendement  23 Voorstel voor een richtlijn Artikel 1 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Deze richtlijn laat Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie alsmede de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, eveneens onverlet.	5. Deze richtlijn eerbiedigt ten volle Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie alsmede Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens.
Amendement  24 Voorstel voor een richtlijn Artikel 2
Door de Commissie voorgestelde tekst	Amendement
Onverminderd de krachtens het recht van de Unie op hen rustende verplichtingen worden de lidstaten er niet van weerhouden bepalingen die een hoger niveau van beveiliging waarborgen, aan te nemen of te handhaven.	Onverminderd de krachtens het recht van de Unie op hen rustende verplichtingen worden de lidstaten er niet van weerhouden bepalingen die een hoger niveau van beveiliging waarborgen, aan te nemen of te handhaven, waarbij in dat geval echter minimale gemeenschappelijke verwachtingen in acht moeten worden genomen die in onderhavige richtlijn worden vastgesteld.
Amendement  25 Voorstel voor een richtlijn Artikel 3 – punt 2
Door de Commissie voorgestelde tekst	Amendement
(2) "beveiliging": het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen;	(2) "beveiliging": het vermogen van een netwerk- en informatiesysteem om bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen;
Amendement  26 Voorstel voor een richtlijn Artikel 3 – punt 2 – letter a (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	"digitale veerkracht": het vermogen van een netwerk- en informatiesysteem om bestand te zijn tegen en tot volledig operationeel vermogen te herstellen na incidenten, met inbegrip van maar niet beperkt tot: technische storingen, energieonderbrekingen of beveiligingsincidenten;
Amendement  27 Voorstel voor een richtlijn Artikel 3 – punt 4
Door de Commissie voorgestelde tekst	Amendement
"incident": elke omstandigheid of gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging;	"incident": elke omstandigheid of gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging en de verlening van kerndiensten;
Amendement  28 Voorstel voor een richtlijn Artikel 3 – punt 8 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen en gezondheid; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;	(b) een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale maatschappelijke en economische activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen, de voedselvoorzieningsketen en gezondheid; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;
Amendement  29 Voorstel voor een richtlijn Artikel 5 – lid 2 – letter a
Door de Commissie voorgestelde tekst	Amendement
(a) een risicobeoordelingsplan om risico's te vast te stellen en de impact van mogelijke incidenten te beoordelen;	(a) een risicobeheerskader dat ten minste een regelmatige risicobeoordeling omvat om risico's vast te stellen en de impact van mogelijke incidenten te beoordelen, en maatregelen om de veiligheid, integriteit en informatie te beschermen, waaronder een vroegtijdige waarschuwing;
Motivering
Een risicobeoordelingsplan is ontoereikend en omvat geen andere maatregelen die nodig zijn om de risico's op het vlak van netwerk- en informatiebeveiliging te beheersen. De EDPS beveelt aan om een risicobeheerskader in te stellen dat een risicobeoordeling omvat.
Amendement  30 Voorstel voor een richtlijn Artikel 5 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De nationale NIB-strategie en het nationale NIB-samenwerkingsplan worden binnen een maand na de vaststelling ervan aan de Commissie toegezonden.	3. De nationale NIB-strategie en het nationale NIB-samenwerkingsplan worden binnen een maand na de vaststelling ervan aan de Commissie, het Europees Parlement, de Raad en de Europese Toezichthouder voor gegevensbescherming toegezonden, hetgeen niet later zal zijn dan 12 maanden na de inwerkingtreding van deze richtlijn.
Amendement  31 Voorstel voor een richtlijn Artikel 5 – lid 3 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(3 bis) Na samenvoeging van de nationale NIB-strategieën van alle lidstaten stuurt de Commissie deze in gestructureerde vorm op naar alle lidstaten.
Motivering
Het is handig als de lidstaten elkaars plannen kunnen inzien. Het kan helpen het inzicht te vergroten, en het kan zelfs de gelegenheid bieden om beste praktijken uit te wisselen.
Amendement  32 Voorstel voor een richtlijn Artikel 5 – lid 3 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(3 ter) De Commissie stelt uiterlijk 6 maanden na goedkeuring van onderhavige richtlijn richtsnoeren op over de structuur van de nationale NIB-strategie. Het doel hiervan is de lidstaten te ondersteunen door ervoor te zorgen dat ze documenten uitwerken en goedkeuren die ongeveer gelijkmatig van structuur zijn.
Motivering
Het op gemeenschappelijk niveau structureren en samenvatten van de 28 documenten die als basis dienen, verloopt effectiever als ze op één bepaalde algemene manier zijn samengesteld. Hoewel de richtsnoeren van de Commissie niet bindend van aard zullen zijn, zullen ze er wel toe leiden dat de lidstaten bij het uitwerken van hun nationale NIB-strategie het aanbevolen model en de aanbevolen structuur zullen volgen.
Amendement  33 Voorstel voor een richtlijn Artikel 6 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat wijst een voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale autoriteit (de "bevoegde autoriteit") aan.	1. Elke lidstaat wijst een voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale civiele autoriteit (de "bevoegde autoriteit") aan.
Amendement  34 Voorstel voor een richtlijn Artikel 6 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. Indien nodig raadplegen de bevoegde autoriteiten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen.	5. Indien nodig en met inachtneming van het evenredigheidsbeginsel raadplegen de bevoegde autoriteiten de bevoegde nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee nauw samen.
Amendement  35 Voorstel voor een richtlijn Artikel 6 – lid 5 (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 bis. Voor wat de vergaarde, verwerkte en uitgewisselde informatie betreft, voldoen de bevoegde autoriteiten aan de vereisten inzake de bescherming van persoonsgegevens zoals uiteengezet in artikel 17 van Richtlijn 95/46/EG.
Amendement  36 Voorstel voor een richtlijn Artikel 7 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat zet een computercrisisteam ("Computer Emergency Response Team", hierna "CERT") op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit.	1. Elke lidstaat zet computercrisisteams ("Computer Emergency Response Team", hierna "CERT's") op die verantwoordelijk zijn voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1). In voorkomend geval wordt een CERT opgericht binnen de bevoegde autoriteit.
Amendement  37 Voorstel voor een richtlijn Artikel 8 – lid 2
Door de Commissie voorgestelde tekst	Amendement
2. Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de bevoegde autoriteiten tot stand. Het Europees Agentschap voor netwerk- en informatiebeveiliging ("ENISA") staat het samenwerkingsnetwerk op verzoek bij met zijn deskundigheid en advies.	2. Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de bevoegde autoriteiten tot stand. Het Europees Agentschap voor netwerk- en informatiebeveiliging ("ENISA") staat het samenwerkingsnetwerk op verzoek bij met technologisch neutraal advies en passende maatregelen voor zowel openbare als particuliere sectoren.
Amendement  38 Voorstel voor een richtlijn Artikel 9 – lid 2 – letter b bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(b bis) de criteria voor de deelname van lidstaten aan het beveiligde informatie-uitwisselingssysteem om ervoor te zorgen dat door alle deelnemers een hoge mate van beveiliging en veerkracht wordt gewaarborgd tijdens alle fasen van de verwerking, o.a. via passende vertrouwelijkheids- en beveiligingsmaatregelen in overeenstemming met de artikelen 16 en 17 van Richtlijn 95/46/EG en de artikelen 21 en 22 van Verordening (EG) nr. 45/2001.
Amendement  39 Voorstel voor een richtlijn Artikel 9 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De Commissie stelt, door middel van uitvoeringshandelingen, besluiten inzake de toegang van de lidstaten tot deze beveiligde infrastructuur vast, krachtens de in de leden 2 en 3 bedoelde criteria. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.	Schrappen
Amendement  40 Voorstel voor een richtlijn Artikel 12 – lid 2 – letter a – streepje 2
Door de Commissie voorgestelde tekst	Amendement
– een bepaling van de procedures en de criteria voor de beoordeling van de risico's en incidenten door het samenwerkingsnetwerk;	– een bepaling van de criteria voor de beoordeling van de risico's en incidenten door het samenwerkingsnetwerk;
Amendement  41 Voorstel voor een richtlijn Artikel 13
Door de Commissie voorgestelde tekst	Amendement
Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenweringsnetwerk mogelijk wordt gemaakt en georganiseerd. Zulke overeenkomsten houden rekening met de noodzaak om afdoende bescherming te waarborgen van de persoonsgegevens die in het samenwerkingsnetwerk circuleren.	Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenwerkingsnetwerk mogelijk wordt gemaakt en georganiseerd. Zulke overeenkomsten worden uitsluitend gesloten als er voor de persoonsgegevens die in het samenwerkingsnetwerk circuleren een passend beschermingsniveau kan worden gewaarborgd dat vergelijkbaar is met dat van de Unie.
Amendement  42 Voorstel voor een richtlijn Artikel 14 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten zorgen ervoor dat overheden en marktdeelnemers passende technische en organisatorische maatregelen nemen ter beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Deze maatregelen zorgen, rekening houdend met de meest recente technische mogelijkheden, voor een beveiligingsniveau dat is afgestemd op de risico's die zich voordoen. Overheden en marktdeelnemers nemen met name maatregelen om de impact te voorkomen en te minimaliseren van incidenten met betrekking tot hun netwerk- en informatiesysteem op de door hen verleende kerndiensten en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten.	1. De lidstaten zorgen ervoor dat overheden en marktdeelnemers passende technische en organisatorische maatregelen nemen voor de opsporing, doeltreffende beheersing en beperking van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Deze maatregelen zorgen, rekening houdend met de meest recente technische mogelijkheden, voor een beveiligingsniveau dat is afgestemd op en evenredig is aan de risico's die zich voordoen. Overheden en marktdeelnemers nemen met name maatregelen om de impact te voorkomen en te minimaliseren van incidenten met betrekking tot hun netwerk- en informatiesysteem op de door hen verleende kerndiensten en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten en beveiliging van de gegevens.
Amendement  43 Voorstel voor een richtlijn Artikel 14 – lid 2 – letter a (nieuw)
	Amendement
	(a) Commerciële softwareproducenten zijn ondanks de niet-aansprakelijkheidsclausules in gebruikersovereenkomsten verantwoordelijk in het geval van grove nalatigheid aangaande de veiligheid en beveiliging.
Motivering
In de licentieovereenkomst ontheffen de commerciële softwareproducenten zich van elke aansprakelijkheid die kan voortvloeien uit een slechte houding ten opzichte van de beveiliging en inferieur programmeerwerk. Er is een andere cultuur nodig om de softwareproducenten te stimuleren tot investeringen in beveiligingsmaatregelen. Deze kan alleen worden gerealiseerd als de softwareproducenten verantwoordelijk zijn voor alle tekortkomingen in de beveiliging.
Amendement  44 Voorstel voor een richtlijn Artikel 14 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De eisen van de leden 1 en 2 zijn van toepassing op alle marktdeelnemers die diensten verlenen in de Europese Unie.	3. De eisen van de leden 1 en 2 zijn van toepassing op alle marktdeelnemers en softwareproducenten die diensten verlenen in de Europese Unie.
Amendement  45 Voorstel voor een richtlijn Artikel 14 – lid 6
Door de Commissie voorgestelde tekst	Amendement
6. Onverminderd elke krachtens lid 5 vastgestelde gedelegeerde handeling kunnen de bevoegde autoriteiten richtsnoeren vaststellen en, zo nodig, instructies geven met betrekking tot de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden.	Schrappen
Amendement  46 Voorstel voor een richtlijn Artikel 15 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. De lidstaten zorgen ervoor dat de bevoegde autoriteiten de nodige bevoegdheden hebben om niet-naleving van de krachtens artikel 14 op overheden of marktdeelnemers rustende verplichtingen en de effecten daarvan op de beveiliging van netwerken en informatiesystemen te onderzoeken.	(Niet van toepassing op de Nederlandse versie.
Amendement  47 Voorstel voor een richtlijn Artikel 15 – lid 5
Door de Commissie voorgestelde tekst	Amendement
5. De bevoegde autoriteiten werken nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben.	5. Onverminderd de toepasselijke wetgeving inzake gegevensbescherming en na volledige raadpleging van de relevante voor de verwerking verantwoordelijken en gegevensverwerkers werken de bevoegde autoriteiten en de contactpunten nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben.
Amendement  48 Voorstel voor een richtlijn Artikel 19 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	Artikel 19 bis
	Bescherming en verwerking van persoonsgegevens
	1. De verwerking van persoonsgegevens in de lidstaten krachtens deze richtlijn wordt uitgevoerd in overeenstemming met Richtlijn 95/46/EG en Richtlijn 2002/58/EG.
	2. De verwerking van persoonsgegevens door de Commissie en ENISA krachtens deze richtlijn wordt uitgevoerd in overeenstemming met Verordening (EG) nr. 45/2001.
	3. De verwerking van persoonsgegevens door het Centrum voor de bestrijding van cybercriminaliteit van Europol in de zin van deze richtlijn wordt uitgevoerd krachtens Besluit 2009/371/JBZ.
	4. De verwerking van persoonsgegevens verloopt eerlijk en rechtmatig en blijft strikt beperkt tot het minimum aan gegevens dat nodig is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt. Deze worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
	5. Meldingen van incidenten als bedoeld in artikel 14 laten de bepalingen en verplichtingen inzake meldingsverplichtingen betreffende inbreuken in verband met persoonsgegevens zoals uiteengezet in artikel 4 van Richtlijn 2002/58/EG en in Verordening (EU) nr. 611/2013 onverlet.
	6. Verwijzingen naar Richtlijn 95/46/EG worden beschouwd als verwijzingen naar de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) zodra deze in werking treedt.
Amendement  49 Voorstel voor een richtlijn Artikel 20 – alinea 1
Door de Commissie voorgestelde tekst	Amendement
De Commissie evalueert de werking van deze richtlijn en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk drie jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken.	De Commissie evalueert de werking van deze richtlijn en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk twee jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken.
Amendement  50 Voorstel voor een richtlijn Bijlage 1– alinea 1 – punt 1 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) het CERT zorgt voor de tenuitvoerlegging en het beheer van beveiligingsmaatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de informatie die het ontvangt en behandelt te waarborgen;	(b) het CERT zorgt voor de tenuitvoerlegging en het beheer van beveiligingsmaatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de informatie die het ontvangt en behandelt te waarborgen, en om gegevensbescherming te garanderen;
Amendement  51 Voorstel voor een richtlijn Bijlage 2 – titel
Door de Commissie voorgestelde tekst	Amendement
Lijst van marktdeelnemers	Lijst van marktdeelnemers
Zoals bedoeld in artikel 3, lid 8, onder a)	Zoals bedoeld in artikel 3, lid 8, onder a)
1. Platforms voor elektronische handel	1. Platforms voor elektronische handel
2. Gateways voor internetbetalingen	2. Gateways voor internetbetalingen
3. Sociaalnetwerksites
4. Zoekmachines	3. Zoekmachines
5. Cloudcomputingdiensten	4. Cloudcomputingdiensten die gegevens betreffende kritieke infrastructuren van de Europese Unie opslaan
6. Internetwinkels die applicaties aanbieden
Amendement  52 Voorstel voor een richtlijn Bijlage 2 – paragraaf 2 – punt 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	5 bis. Voedselvoorzieningsketen

PROCEDURE

Titel	Gemeenschappelijk hoog niveau van netwerk- en informatieveiligheid in de Unie
Document- en procedurenummers	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Commissie ten principale        Datum bekendmaking	IMCO 15.4.2013
Advies uitgebracht door        Datum bekendmaking	LIBE 15.4.2013
Medeverantwoordelijke commissie(s) - datum bekendmaking	12.9.2013
Rapporteur voor advies        Datum benoeming	Carl Schlyter 7.3.2013
Behandeling in de commissie	25.4.2013	18.9.2013	4.11.2013	13.1.2014
Datum goedkeuring	13.1.2014
Uitslag eindstemming	+: –: 0:	36 6 0
Bij de eindstemming aanwezige leden	Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Arkadiusz Tomasz Bratkowski, Philip Claeys, Frank Engel, Cornelia Ernst, Tanja Fajon, Monika Flašíková Beňová, Kinga Gál, Kinga Göncz, Salvatore Iacolino, Sophia in ‘t Veld, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Claude Moraes, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Renate Sommer, Axel Voss, Renate Weber, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra
Bij de eindstemming aanwezige vaste plaatsvervanger(s)	Monika Hohlmeier, Jean Lambert, Ulrike Lunacek, Jan Mulder, Carl Schlyter, Marco Scurria
Bij de eindstemming aanwezige plaatsvervanger(s) (art. 187, lid 2)	Katarína Neveďalová

ADVIES van de Commissie buitenlandse zaken (6.12.2013)

aan de Commissie interne markt en consumentenbescherming

inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Rapporteur voor advies: Ana Gomes

AMENDEMENTEN

De Commissie buitenlandse zaken verzoekt de ten principale bevoegde Commissie interne markt en consumentenbescherming onderstaande amendementen in haar verslag op te nemen:

Amendement  1 Voorstel voor een richtlijn Overweging 1
Door de Commissie voorgestelde tekst	Amendement
(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt.	(1) Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt, alsook voor de externe veiligheid van de EU.
Amendement  2 Voorstel voor een richtlijn Overweging 2
Door de Commissie voorgestelde tekst	Amendement
(2) De omvang en frequentie van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen.	(2) De omvang en frequentie van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen ondermijnen en de economie van de Unie ernstige schade toebrengen, en, uiteindelijk, een gevaar vormen voor het welzijn van de EU-burgers en voor het vermogen van de EU-lidstaten om zich te beschermen en de beveiliging van kritieke infrastructuur te waarborgen.
Amendement  3 Voorstel voor een richtlijn Overweging 2 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(2 bis) De solidariteitsclausule, geïntroduceerd in artikel 222 van het VWEU, vormt het passende kader voor onderlinge bijstand en gecoördineerd optreden van EU-lidstaten in geval van een terroristische aanslag of criminele activiteiten die netwerken en informatiebeveiliging in gevaar brengen. Daarnaast vormt de in artikel 42, lid 7, van het VEU vastgelegde clausule inzake wederzijdse verdediging het kader voor optreden binnen de EU indien een lidstaat het slachtoffer wordt van gewapende agressie die de netwerk- en informatiebeveiliging beschadigt. In desbetreffende gevallen dienen artikel 222 van het VWEU en artikel 42, lid 7, van het VEU op complementaire wijze te worden toegepast.
Amendement  4 Voorstel voor een richtlijn Overweging 2 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(2 bis) Een groot aantal cyberincidenten vindt plaats vanwege een gebrek aan veerkracht en betrouwbaarheid van de private en publieke netwerkinfrastructuur, slecht beschermde of beveiligde databestanden en andere gebreken in de kritieke informatie-infrastructuur. Slechts een paar lidstaten rekenen het beschermen van hun netwerk en informatiesystemen en de daarin opgenomen gegevens tot hun zorgplicht, hetgeen het gebrek aan investering in geavanceerde beveiligingstechnologie, opleiding en ontwikkeling van relevante richtsnoeren verklaart.
Amendement  5 Voorstel voor een richtlijn Overweging 3
Door de Commissie voorgestelde tekst	Amendement
(3) Als communicatiemiddel zonder grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt.	(3) Als communicatiemiddel zonder grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt en van primair belang voor zowel de interne als externe veiligheid van de EU. In de interneveiligheidsstrategie van de Unie en de Europese veiligheidsstrategie moet de noodzaak om netwerk- en informatiebeveiliging te verbeteren derhalve terdege worden benadrukt, met name met het oog op de toekomstige herziening van deze documenten.
Amendement  6 Voorstel voor een richtlijn Overweging 3 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(3 bis) Het vergroten van het bewustzijn onder en het voorlichten van gebruikers van informatie- en communicatietechnologieën over beste praktijken op het gebied van beveiliging van persoonsgegevens alsmede duurzaam onderhoud van communicatiediensten moeten het fundament vormen voor een allesomvattende strategie inzake cyberveiligheid.
Amendement  7 Voorstel voor een richtlijn Overweging 4 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 bis) Samenwerking en coördinatie van de desbetreffende Europese autoriteiten met de VV/HV, die verantwoordelijk is voor het gemeenschappelijk buitenlands en veiligheidsbeleid en het gemeenschappelijk veiligheids- en defensiebeleid, alsook met de EU-coördinator voor terrorismebestrijding moeten worden gewaarborgd in alle gevallen waarin het risico´s van externe of terroristische aard zou kunnen betreffen.
Amendement  8 Voorstel voor een richtlijn Overweging 4 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 ter) Het delen van inlichtingen en gevoelige informatie tussen de lidstaten onderling en tussen de lidstaten en de desbetreffende bevoegde EU-autoriteiten moet worden versterkt, gebaseerd op de beginselen van vertrouwen, solidariteit en samenwerking. Bij ieder actieplan om de netwerk- en informatiebeveiliging te verbeteren moeten reeds bestaande structuren zoals het SitCen en het IntCen bijgevolg ten volle worden benut, en moet worden gezorgd voor coördinatie tussen alle voor informatiebeveiliging relevante structuren die van belang zijn voor de interne en externe veiligheid van de EU.
Amendement  9 Voorstel voor een richtlijn Overweging 4 quater (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(4 quater) Samenwerking en informatie-uitwisseling op mondiaal niveau met relevante internationale partners is, in het licht van de transnationale aard van de dreiging, van essentieel belang voor een doeltreffende cyberveiligheidsstrategie en voor krachtige maatregelen om de netwerk- en informatiebeveiliging binnen de EU te verbeteren;
Amendement  10 Voorstel voor een richtlijn Overweging 8 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(8 bis) Veiligheidsmaatregelen moeten de grondrechten van de EU en haar lidstaten eerbiedigen, overeenkomstig de artikelen 2, 6 en 21 van het VWEU, zoals de vrijheid van meningsuiting, gegevensbescherming en privacy. De rechten op privacy en gegevensbescherming zijn vastgelegd in het EU-Handvest en in artikel 16 van het VWEU.
Amendement  11 Voorstel voor een richtlijn Overweging 11 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(11 bis) Alle lidstaten dienen zich bij hun nationale strategieën op het gebied van cyberveiligheid te concentreren op de bescherming van informatiesystemen en de daarin opgenomen gegevens en de bescherming van deze kritieke infrastructuur tot hun respectievelijke zorgplicht te rekenen. Alle lidstaten dienen strategieën, richtsnoeren en instrumenten aan te nemen en te implementeren die een redelijk niveau van bescherming bieden tegen redelijkerwijs identificeerbare dreigingsniveaus, waarbij de kosten en lasten evenredig moeten zijn aan de vermoedelijke schade voor de betrokken partijen. Voorts dienen alle lidstaten de noodzakelijke stappen te zetten om rechtspersonen die onder hun jurisdictie vallen te verplichten de persoonsgegevens die zij in hun beheer hebben te beschermen.
Amendement  12 Voorstel voor een richtlijn Overweging 16
Door de Commissie voorgestelde tekst	Amendement
(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten een gemeenschappelijke website opzetten om niet-vertrouwelijke informatie over de incidenten en risico's bekend te maken.	(16) Om voor transparantie te zorgen en de EU-burgers en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten een gemeenschappelijke website opzetten om niet-vertrouwelijke informatie over de incidenten en risico's bekend te maken. De op deze website gepubliceerde persoonsgegevens moeten beperkt blijven tot het noodzakelijke en moeten zo anoniem mogelijk zijn.
Amendement  13 Voorstel voor een richtlijn Overweging 30 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(30 bis) Deze richtlijn doet geen afbreuk aan het EU-acquis inzake gegevensbescherming. Persoonsgegevens die worden gebruikt overeenkomstig de bepalingen van deze richtlijn blijven beperkt tot het minimum aan persoonsgegevens die absoluut noodzakelijk zijn en die uitsluitend worden doorgegeven aan de strikt noodzakelijke actoren, waarbij de anonimiteit zoveel mogelijk, zo niet volledig, wordt gewaarborgd.
Amendement  14 Voorstel voor een richtlijn Overweging 32 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(32 bis) De huidige richtlijn (NIB-richtlijn) laat de noodzakelijke goedkeuring van EU-wetgeving inzake algemene gegevensbescherming onverlet.
Amendement  15 Voorstel voor een richtlijn Overweging 34 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(34 bis) De verkoop, toevoer, overdracht of uitvoer naar derde landen van apparatuur of software die in de eerste plaats bedoeld is voor toezicht op of interceptie van het internet of telefonische communicatie via mobiele of vaste netwerken, alsook het verlenen van bijstand bij het installeren, exploiteren of actualiseren van dergelijke apparatuur of software, moeten op EU-niveau moeten worden gereguleerd. De Commissie dient zo spoedig mogelijk wetgeving voor te bereiden om te voorkomen dat Europese bedrijven dergelijke producten voor tweeërlei gebruik uitvoeren naar niet-democratische, autoritaire en repressieve regimes.
Amendement  16 Voorstel voor een richtlijn Artikel 1 – lid 2 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;	(b) de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde, efficiënte en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;
Amendement  17 Voorstel voor een richtlijn Artikel 3 – lid 1 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, computergegevens automatisch verwerkt of verwerken; alsook	(b) een groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, computergegevens automatisch verwerkt of verwerken; alsook
Amendement  18 Voorstel voor een richtlijn Artikel 3 – lid 2 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	a) "digitale veerkracht": het vermogen van een netwerk- en informatiesysteem om bestand te zijn tegen en tot volledig operationeel vermogen te herstellen na incidenten, met inbegrip van maar niet beperkt tot technische storingen, energieonderbrekingen of beveiligingsincidenten;
Amendement  19 Voorstel voor een richtlijn Artikel 3 – lid 8 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen en gezondheid; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;	(b) een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen, gezondheid, veiligheid en defensie; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II;
Amendement  20 Voorstel voor een richtlijn Artikel 3 – lid 8 – letter b bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(b bis) zij voorzien in apparaten, netwerken en informatiesystemen als bedoeld in lid 1, of onderdelen hiervan, die essentieel zijn voor een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging;
Amendement  21 Voorstel voor een richtlijn Artikel 6 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat wijst een voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale autoriteit (de "bevoegde autoriteit") aan.	1. Elke lidstaat wijst een voor de beveiliging van netwerk- en informatiesystemen bevoegde nationale burgerlijke autoriteit (de "bevoegde autoriteit") aan.
Amendement  22 Voorstel voor een richtlijn Artikel 7 – lid 1
Door de Commissie voorgestelde tekst	Amendement
1. Elke lidstaat zet een computercrisisteam ("Computer Emergency Response Team", hierna "CERT") op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit.	1. Elke lidstaat zet ten minste één computercrisisteam ("Computer Emergency Response Team", hierna "CERT") op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I.A, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit.
Amendement  23 Voorstel voor een richtlijn Artikel 8 – lid 3 – letter f bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(f bis) indien van toepassing gezien de aard van het risico of de dreiging informeren zij, door middel van verslaglegging, de EU-coördinator voor terrorismebestrijding, en zij kunnen gevraagd worden door middel van analyse te assisteren bij de voorbereidende werkzaamheden en het optreden van het samenwerkingsnetwerk;
Amendement  24 Voorstel voor een richtlijn Artikel 9 – lid 1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	1 bis. Persoonlijke gegevens worden uitsluitend bekendgemaakt aan ontvangers die deze gegevens moeten verwerken om hun taken te vervullen overeenkomstig een passende rechtsgrondslag. De bekendgemaakte gegevens zijn beperkt tot hetgeen noodzakelijk is voor de vervulling van hun taken. Naleving van het beginsel inzake doelbeperking wordt gewaarborgd. De termijn voor de bewaring van deze gegevens wordt gespecificeerd voor de doeleinden zoals uiteengezet in deze richtlijn.
Amendement  25 Voorstel voor een richtlijn Artikel 10 – lid 3
Door de Commissie voorgestelde tekst	Amendement
3. De Commissie kan op verzoek van een lidstaat of op eigen initiatief een lidstaat verzoeken relevante informatie te verstrekken over een specifiek risico of incident.	3. De Commissie kan op verzoek van een lidstaat of op eigen initiatief een lidstaat verzoeken relevante informatie te verstrekken over een specifiek risico of incident, in overeenstemming met de bepalingen van de algemene verordening gegevensbescherming.
Amendement  26 Voorstel voor een richtlijn Artikel 13 – lid -1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(-1 bis) De VV/HV integreert de cyberveiligheidsaspecten in de externe operaties van de EU, met name met betrekking tot derde landen, teneinde de uitwisseling van ervaringen en de samenwerking inzake cyberveiligheidskwesties te intensiveren.
Amendement  27 Voorstel voor een richtlijn Artikel 13 – lid -1 ter (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(-1 ter) De Raad en de Commissie houden, in het kader van de betrekkingen en samenwerkingsovereenkomsten met derde landen, met name met de landen waarmee wordt samengewerkt op het gebied van technologie, vast aan de minimumnormen voor de beveiliging van informatiesystemen;
Amendement  28 Voorstel voor een richtlijn Artikel 20 – titel
Door de Commissie voorgestelde tekst	Amendement
Evaluatie	Verslaglegging en evaluatie
Amendement  29 Voorstel voor een richtlijn Artikel 20 – lid -1 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(-1 bis) De Commissie brengt jaarlijks verslag uit aan het Europees Parlement en de Raad over de in het kader van deze richtlijn bij haar gemelde incidenten en maatregelen.
Amendement  30 Voorstel voor een richtlijn Bijlage 1 – paragraaf 1 – letter b
Door de Commissie voorgestelde tekst	Amendement
(b) het CERT zorgt voor de tenuitvoerlegging en het beheer van beveiligingsmaatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de informatie die het ontvangt en behandelt te waarborgen;	(b) het CERT zorgt voor de tenuitvoerlegging en het beheer van beveiligingsmaatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de informatie die het ontvangt en behandelt te waarborgen, en aldus aan de vereisten inzake gegevensbescherming te voldoen;
Amendement  31 Voorstel voor een richtlijn BIJLAGE II – 2e subtitel (zoals bedoeld in artikel 3, lid 8, onder b) – punt 5 bis (nieuw)
Door de Commissie voorgestelde tekst	Amendement
	(5 bis) veiligheids- en defensiesector: marktdeelnemers op het gebied van werkzaamheden en diensten als bedoeld in Richtlijn 2009/81/EG, met name degenen waarnaar wordt verwezen in artikel 46

PROCEDURE

Titel	Gemeenschappelijk hoog niveau van netwerk- en informatieveiligheid in de Unie
Document- en procedurenummers	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Commissie ten principale        Datum bekendmaking	IMCO 15.4.2013
Advies uitgebracht door        Datum bekendmaking	AFET 15.4.2013
Rapporteur voor advies        Datum benoeming	Ana Gomes 19.2.2013
Behandeling in de commissie	18.9.2013
Datum goedkeuring	5.12.2013
Uitslag eindstemming	+: –: 0:	31 3 8
Bij de eindstemming aanwezige leden	Elmar Brok, Jerzy Buzek, Mark Demesmaeker, Marietta Giannakou, Ana Gomes, Andrzej Grzyb, Anna Ibrisagic, Jelko Kacin, Tunne Kelam, Nicole Kiil-Nielsen, Andrey Kovatchev, Eduard Kukan, Marusya Lyubcheva, Annemie Neyts-Uyttebroeck, Norica Nicolai, Raimon Obiols, Kristiina Ojuland, Ria Oomen-Ruijten, Ioan Mircea Paşcu, Alojz Peterle, Mirosław Piotrowski, Bernd Posselt, Hans-Gert Pöttering, Cristian Dan Preda, Libor Rouček, Tokia Saïfi, José Ignacio Salafranca Sánchez-Neyra, György Schöpflin, Werner Schulz, Marek Siwiec, Charles Tannock, Geoffrey Van Orden, Nikola Vuljanić, Boris Zala
Bij de eindstemming aanwezige vaste plaatsvervanger(s)	Marije Cornelissen, Barbara Lochbihler, Doris Pack, Marietje Schaake, Indrek Tarand, Ivo Vajgl, Paweł Zalewski
Bij de eindstemming aanwezige plaatsvervanger(s) (art. 187, lid 2)	Hiltrud Breyer

PROCEDURE

Titel	Gemeenschappelijk hoog niveau van netwerk- en informatieveiligheid in de Unie
Document- en procedurenummers	COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)
Datum indiening bij EP	5.2.2013
Commissie ten principale        Datum bekendmaking	IMCO 15.4.2013
Medeadviserende commissie(s)        Datum bekendmaking	AFET 15.4.2013	INTA 15.4.2013	BUDG 15.4.2013	ECON 15.4.2013
	ENVI 15.4.2013	ITRE 15.4.2013	TRAN 15.4.2013	JURI 15.4.2013
	LIBE 15.4.2013
Geen advies        Datum besluit	INTA 20.3.2013	BUDG 21.2.2013	ECON 18.6.2013	ENVI 19.2.2013
	TRAN 18.3.2013	JURI 20.2.2013
Medeverantwoordelijke commissie(s)        Datum bekendmaking	ITRE 12.9.2013	LIBE 12.9.2013
Rapporteur(s)        Datum benoeming	Andreas Schwab 20.3.2013
Behandeling in de commissie	25.4.2013	18.6.2013	5.9.2013	4.11.2013
	9.1.2014
Datum goedkeuring	23.1.2014
Uitslag eindstemming	+: –: 0:	33 1 1
Bij de eindstemming aanwezige leden	Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Sergio Gaetano Cofferati, Lara Comi, Anna Maria Corazza Bildt, Christian Engström, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Eduard-Raul Hellvig, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Franz Obermayr, Sirpa Pietikäinen, Zuzana Roithová, Heide Rühle, Andreas Schwab, Róża Gräfin von Thun und Hohenstein, Bernadette Vergnaud, Barbara Weiler
Bij de eindstemming aanwezige vaste plaatsvervanger(s)	Regina Bastos, Ashley Fox, María Irigoyen Pérez, Morten Løkkegaard, Tadeusz Ross, Marc Tarabella, Patricia van der Kammen, Sabine Verheyen, Josef Weidenholzer
Bij de eindstemming aanwezige plaatsvervanger(s) (art. 187, lid 2)	Vital Moreira, Oreste Rossi
Datum indiening	12.2.2014