Index 
 Vorige 
 Volgende 
 Volledige tekst 
Procedure : 2013/0027(COD)
Stadium plenaire behandeling
Documentencyclus : A7-0103/2014

Ingediende teksten :

A7-0103/2014

Debatten :

PV 12/03/2014 - 15
CRE 12/03/2014 - 15

Stemmingen :

PV 13/03/2014 - 14.8
Stemverklaringen

Aangenomen teksten :

P7_TA(2014)0244

Aangenomen teksten
PDF 493kWORD 191k
Donderdag 13 maart 2014 - Straatsburg
Gemeenschappelijk hoog niveau van netwerk- en informatieveiligheid ***I
P7_TA(2014)0244A7-0103/2014
Resolutie
 Geconsolideerde tekst

Wetgevingsresolutie van het Europees Parlement van 13 maart 2014 over het voorstel voor een richtlijn van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))

(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

–  gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2013)0048),

–  gezien artikel 294, lid 2, en artikel 114 van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C7‑0035/2013),

–  gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

–  gezien de gemotiveerde adviezen die in het kader van protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid zijn uitgebracht door de Zweedse rijksdag, en waarin wordt gesteld dat het ontwerp van wetgevingshandeling niet strookt met het subsidiariteitsbeginsel,

–  gezien het advies van het Europees Economisch en Sociaal Comité van 22 mei 2013(1),

–  gezien zijn resolutie van 12 september 2013 over een EU-strategie inzake cyberveiligheid: Een open, veilige en beveiligde cyberruimte(2),

–  gezien artikel 55 van zijn Reglement,

–  gezien het verslag van de Commissie interne markt en consumentenbescherming en de adviezen van de Commissie industrie, onderzoek en energie, de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en de Commissie buitenlandse zaken (A7-0103/2014),

1.  stelt onderstaand standpunt in eerste lezing vast;

2.  verzoekt om hernieuwde voorlegging indien de Commissie voornemens is ingrijpende wijzigingen in haar voorstel aan te brengen of dit door een nieuwe tekst te vervangen;

3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad en aan de Commissie alsmede aan de nationale parlementen.

(1) PB C 271 van 19.9.2013, blz. 133.
(2) Aangenomen teksten, P7_TA(2013)0376.


Standpunt van het Europees Parlement in eerste lezing vastgesteld op 13 maart 2014 met het oog op de vaststelling van Richtlijn 2014/.../EU van het Europees Parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen
P7_TC1-COD(2013)0027

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van de wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité(1),

Handelend volgens de gewone wetgevingsprocedure(2),

Overwegende hetgeen volgt:

(1)  Netwerk- en informatiesystemen en -diensten spelen een cruciale rol in de samenleving. De betrouwbaarheid en beveiliging ervan zijn essentieel voor de vrijheid en de algehele beveiliging van de burgers van de Unie en de economische bedrijvigheid en het sociaal welzijn, en met name voor de werking van de eengemaakte markt. [Am. 1]

(2)  De omvang, en frequentie en impact van opzettelijke en accidentele beveiligingsincidenten neemt toe en vormt een grote bedreiging voor de werking van netwerken en informatiesystemen. Die systemen kunnen ook een gemakkelijk doelwit worden van opzettelijke schadelijke acties die bedoeld zijn om de werking van de systemen schade toe te brengen of te onderbreken. Zulke incidenten kunnen de economische bedrijvigheid belemmeren, aanzienlijke financiële verliezen opleveren, het gebruikersvertrouwen vertrouwen van gebruikers en investeerders ondermijnen en de economie van de Unie ernstige schade toebrengen, en uiteindelijk een gevaar vormen voor het welzijn van de burgers van de Unie en voor het vermogen van de lidstaten om zich te beschermen en de beveiliging van kritieke infrastructuur te waarborgen. [Am. 2]

(3)  Als communicatiemiddel zonder grenzen spelen digitale informatiesystemen, en hoofdzakelijk het internet, een cruciale rol in het faciliteren van het grensoverschrijdende verkeer van goederen, diensten en personen. Vanwege dat transnationale karakter kan een ernstige verstoring van die systemen in een lidstaat ook andere lidstaten en de Unie als geheel treffen. De veerkracht en stabiliteit van netwerk- en informatiesystemen is daarom essentieel voor de soepele werking van de eengemaakte markt.

(3 bis)  Aangezien veel voorkomende oorzaken van systeemfalen nog altijd onopzettelijk zijn, zoals natuurlijke oorzaken of menselijke fouten, moet infrastructuur veerkrachtig zijn bij zowel opzettelijke als onopzettelijke verstoringen, en moeten exploitanten van kritieke infrastructuur op veerkracht gebaseerde systemen ontwerpen. [Am. 3]

(4)  Op het niveau van de Unie moet een samenwerkingsmechanisme worden opgezet dat informatie-uitwisseling en gecoördineerde preventie, opsporing en reactie met betrekking tot netwerk- en informatiebeveiliging ("NIB") mogelijk maakt. Opdat dat mechanisme doeltreffend en inclusief zou zijn, is het essentieel dat alle lidstaten over minimumcapaciteit en een strategie beschikken om op hun grondgebied een hoog niveau van NIB te waarborgen. Om een cultuur van risicobeheer te bevorderen en ervoor te zorgen dat de ernstigste incidenten worden gemeld, moeten minimumeisen inzake beveiliging ook gelden voor ten minsteoverheden en exploitanten van kritieke bepaalde marktdeelnemers die kritische informatie-infrastructuur exploiteren, . Beursgenoteerde ondernemingen dienen te worden aangemoedigd om incidenten op vrijwillige basis in hun financiële verslagen openbaar te maken. Het wettelijke kader dient te zijn gebaseerd op de noodzaak de persoonlijke levenssfeer en de integriteit van burgers te vrijwaren. Het Waarschuwingsnetwerk betreffende kritieke infrastructuur (Critical Infrastructure Warning Information Network – CIWIN) dient te worden uitgebreid naar de onder deze richtlijn vallende marktdeelnemers. [Am. 4]

(4 bis)  Terwijl overheden op grond van hun publieke taak zorgvuldigheid moeten betrachten bij het beheer en de bescherming van hun eigen netwerk- en informatiesystemen, dient deze richtlijn zich te richten op de kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, infrastructuur voor de financiële markt en gezondheid. Softwareontwikkelaars en hardwarefabrikanten dienen van het toepassingsgebied van deze richtlijn te worden uitgesloten. [Am. 5]

(4 ter)  Samenwerking en coördinatie tussen de desbetreffende autoriteiten van de Unieen de hoge vertegenwoordiger/vicevoorzitter, die verantwoordelijk is voor het gemeenschappelijk buitenlands en veiligheidsbeleid en het gemeenschappelijk veiligheids- en defensiebeleid, en ook de EU-coördinator voor terrorismebestrijding moeten worden gegarandeerd wanneer wordt aangenomen dat incidenten met een aanzienlijke impact van externe en terroristische aard zijn. [Am. 6]

(5)  Om in alle relevante incidenten en risico's te voorzien, moet deze richtlijn van toepassing zijn op alle netwerk- en informatiesystemen. De verplichtingen ten aanzien van overheden en marktdeelnemers mogen echter niet van toepassing zijn op ondernemingen die openbare communicatienetwerken of openbare elektronischecommunicatiediensten in de zin van Richtlijn 2002/21/EG van het Europees Parlement en de Raad(3) aanbieden, welke zijn onderworpen aan de in artikel 13 bis van die richtlijn vastgestelde specifieke veiligheids- en integriteitseisen, noch op aanbieders van vertrouwensdiensten.

(6)  De bestaande capaciteit volstaat niet om een hoog niveau van NIB in de Unie te waarborgen. Omdat het niveau van paraatheid van de lidstaten sterk uiteenloopt, is de aanpak in de Unie gefragmenteerd. Dit leidt tot ongelijke niveaus van bescherming van consumenten en bedrijven en ondermijnt het algemene NIB-niveau in de Unie. Doordat er geen gemeenschappelijke minimumeisen ten aanzien van overheden en marktdeelnemers gelden, is het dan weer onmogelijk een overkoepelend en doeltreffend mechanisme voor samenwerking op het niveau van de Unie op te zetten. De universiteiten en onderzoeksinstellingen spelen een bepalende rol bij het stimuleren van onderzoek, ontwikkeling en innovatie op deze gebieden en dienen adequaat te worden gefinancierd. [Am. 7]

(7)  Om doeltreffend te reageren op de beveiligingsuitdagingen voor netwerk- en informatiesystemen is daarom een overkoepelende aanpak op het niveau van de Unie nodig die gemeenschappelijke minimumeisen inzake capaciteitsopbouw en planning, de ontwikkeling van voldoende vaardigheden op het gebied van cyberbeveiliging, informatie-uitwisseling, coördinatie van maatregelen en gemeenschappelijke minimumeisen inzake beveiliging voor alle betrokken marktdeelnemers en overheden omvat. Er moeten gemeenschappelijke minimumnormen worden toegepast overeenkomstig de relevante aanbevelingen van de Cyber Security Coordination Groups (CSCG's). [Am. 8]

(8)  De bepalingen van deze richtlijn moeten de mogelijkheid onverlet laten dat elke lidstaat de nodige maatregelen neemt om voor de bescherming van zijn essentiële veiligheidsbelangen te zorgen, de openbare orde en de openbare veiligheid te garanderen en het onderzoek, de opsporing en de vervolging van misdrijven mogelijk te maken. Overeenkomstig artikel 346 van het Verdrag betreffende de werking van de Europese Unie (VWEU) mag geen enkele lidstaat verplicht worden inlichtingen te verstrekken waarvan de openbaarmaking naar zijn mening strijdig is met wezenlijke veiligheidsbelangen. Geen lidstaat is verplicht om gerubriceerde EU-informatie als omschreven in Besluit 2011/292/EU van de Raad(4), en informatie waarop geheimhoudingsovereenkomsten of informele geheimhoudingsovereenkomsten van toepassing zijn, zoals het verkeerslichtprotocol ("Traffic Light Protocol"), openbaar te maken. [Am. 9]

(9)  Om een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te bereiken en te handhaven, moet elke lidstaat een nationale NIB-strategie hebben waarin de te verwezenlijken strategische doelstellingen en concrete beleidsmaatregelen zijn vastgesteld. Op basis van de in deze richtlijn vastgestelde minimumeisen moeten er op nationaal niveau moeten aan essentiële eisen beantwoordende NIB-samenwerkingsplannen worden ontwikkeld om een niveau van reactiecapaciteit te bereiken dat in geval van incidenten doeltreffende en efficiënte samenwerking op nationaal niveau en op het niveau van de Unie mogelijk maakt, met eerbiediging en bescherming van de persoonlijke levenssfeer en de persoonsgegevens. Elke lidstaat dient bijgevolg verplicht te worden te voldoen aan gemeenschappelijke normen voor gegevensformaten en de uitwisselbaarheid van te delen en te evalueren gegevens. De lidstaten moeten het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (European Union Agency for Network and Information Security – Enisa) om bijstand kunnen vragen bij de ontwikkeling van hun nationale NIB-strategie op basis van een gemeenschappelijke minimale blauwdruk voor NIB-strategieën. [Am. 10]

(10)  Om de doeltreffende uitvoering van de krachtens deze richtlijn vastgestelde bepalingen mogelijk te maken, moet in elke lidstaat een met de coördinatie van NIB-zaken belaste instantie worden opgericht of aangewezen die optreedt als contactpunt voor grensoverschrijdende samenwerking op het niveau van de Unie. Deze instanties moeten de nodige technische, financiële en personele middelen krijgen om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken.

(10 bis)  Om rekening te houden met de uiteenlopende nationale bestuursstructuren, reeds bestaande sectorale regelingen of toezichthoudende en regelgevende instanties van de Unie ongemoeid te laten en dubbel werk te voorkomen, moeten de lidstaten meer dan één nationale bevoegde autoriteit kunnen aanwijzen voor de uitvoering van de uit deze richtlijn voortvloeiende taken in verband met de beveiliging van de netwerken en informatiesystemen van marktdeelnemers. Om te zorgen voor soepele grensoverschrijdende samenwerking en communicatie, is het echter nodig dat iedere lidstaat, ongeacht de sectorale regelingen, slechts één enkel nationaal contactpunt aanwijst voor de grensoverschrijdende samenwerking op het niveau van de Unie. Indien dit op grond van zijn constitutionele bestel of op andere gronden noodzakelijk is, moet een lidstaat slechts één autoriteit kunnen aanwijzen voor de uitvoering van de taken van de bevoegde autoriteit en het ene contactpunt. De bevoegde autoriteiten en de contactpunten moeten civiele instanties zijn die aan volledige democratische controle onderworpen zijn, en mogen geen taken op het gebied van inlichtingen, wetshandhaving of defensie verrichten of in enigerlei vorm organisatorische banden hebben met organen die op deze gebieden actief zijn. [Am. 11]

(11)  Alle lidstaten en marktdeelnemers moeten zowel technisch als organisatorisch voldoende zijn toegerust voor het te allen tijde voorkomen en opsporen van en reageren op incidenten en risico's met betrekking tot netwerk- en informatiesystemen. De beveiligingssystemen van overheden dienen veilig te zijn en onderworpen aan democratische controle en toetsing. Algemeen benodigde apparatuur en middelen dienen te voldoen aan gemeenschappelijk overeengekomen technische normen, alsook aan standaardvoorschriften voor werkzaamheden (Standard procedures of operation – SPO). Daarom moeten in alle lidstaten goed functionerende, aan essentiële eisen beantwoordende computercrisisteams (Computer Emergency Response Teams – CERT's) worden opgericht die voor doeltreffende en compatibele capaciteit voor de aanpak van incidenten en risico's moeten zorgen en doeltreffende samenwerking op het niveau van de Unie waarborgen. Deze CERT's moeten de mogelijkheid krijgen te communiceren op basis van gemeenschappelijke technische normen en SPO's. Gezien de verschillende kenmerken van de bestaande CERT’s, die voor verschillende behoeften en actoren worden ingezet, dienen de lidstaten te waarborgen dat elk van de sectoren zoals bedoeld in de in deze richtlijn opgenomen lijst van marktdeelnemers, onder de verantwoordelijkheid van ten minste één CERT valt. Met het oog op de grensoverschrijdende samenwerking tussen de CERT's moeten de lidstaten erop toezien dat de CERT's over voldoende middelen beschikken om aan de reeds bestaande samenwerkingsnetwerken op internationaal en Unieniveau te kunnen deelnemen. [Am. 12]

(12)  Voortbouwend op de aanzienlijke vooruitgang die in het Europees Forum voor de lidstaten (European Forum of Member States – EFMS) is geboekt met betrekking tot het bevorderen van discussies en de uitwisseling van goede beleidspraktijken, waaronder de ontwikkeling van beginselen voor Europese cybercrisissamenwerking, moeten de lidstaten en de Commissie een netwerk vormen om permanente communicatie tot stand te brengen en samenwerking te bevorderen. Dit beveiligde en doeltreffende samenwerkingsmechanisme, waaraan in voorkomend geval ook de marktdeelnemers deelnemen, moet gestructureerde en gecoördineerde informatie-uitwisseling, opsporing en reactie op het niveau van de Unie mogelijk maken. [Am. 13]

(13)  Het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa) moet de lidstaten en de Commissie met deskundigheid en advies bijstaan en de uitwisseling van beste praktijken faciliteren. Met name bij de toepassing van deze richtlijn moet moeten de Commissie en de lidstaten Enisa raadplegen. Om ervoor te zorgen dat de lidstaten en de Commissie doeltreffend en tijdig worden geïnformeerd, moeten binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over incidenten en risico's worden gegeven. Om capaciteit en kennis bij de lidstaten op te bouwen, moet het samenwerkingsnetwerk tevens dienstdoen als een instrument voor de uitwisseling van beste praktijken, dat de leden behulpzaam is bij het opbouwen van capaciteit en houvast biedt bij de organisatie van collegiale toetsingen en NIB-oefeningen. [Am. 14]

(13 bis)  De lidstaten moeten bij de toepassing van de bepalingen van deze richtlijn, waar van toepassing, bestaande organisatiestructuren of strategieën kunnen gebruiken of aanpassen. [Am. 15]

(14)  Er moet een beveiligde informatie-uitwisselingsstructuur worden opgezet om de uitwisseling van gevoelige en vertrouwelijke informatie binnen het netwerk mogelijk te maken. Voor dat doel dient ten volle gebruik te worden gemaakt van de bestaande structuren in de Unie. Onverminderd hun verplichting om incidenten en risico's met een uniale dimensie bij het samenwerkingsnetwerk te melden, mogen lidstaten alleen toegang tot vertrouwelijke informatie van andere lidstaten krijgen indien zij aantonen dat hun technische, financiële en personele middelen en processen, alsook hun communicatiestructuur, waarborgen dat hun deelname aan het netwerk doeltreffend, efficiënt en veilig is en dat zij transparante methoden toepassen. [Am. 16]

(15)  Aangezien de meeste netwerk- en informatiesystemen particulier worden geëxploiteerd, is samenwerking tussen de publieke en private sector essentieel. Marktdeelnemers moeten worden aangemoedigd eigen informele samenwerkingsmechanismen op te zetten om NIB te waarborgen. Zij moeten ook met de publieke sector samenwerken en over en weer informatie en beste praktijken uitwisselen, in ruil voor waaronder de wederzijdse uitwisseling van relevante informatie en operationele steun en strategisch geanalyseerde informatie bij incidenten. Om de uitwisseling van informatie en beste praktijken doeltreffend te stimuleren is het essentieel ervoor te zorgen dat marktdeelnemers die deelnemen aan een dergelijke uitwisseling, geen nadelen ondervinden ten gevolge van hun samenwerking. Er zijn afdoende waarborgen nodig om ervoor te zorgen dat een dergelijke samenwerking voor deze marktdeelnemers niet leidt tot een verhoogd nalevingsrisico of nieuwe verplichtingen krachtens wetgeving inzake onder andere mededinging, intellectuele eigendom, gegevensbescherming of cybermisdrijven, en voor hen ook niet leidt tot verhoogde operationele of beveiligingsrisico's. [Am. 17]

(16)  Om voor transparantie te zorgen en deburgers van de Unie en marktdeelnemers naar behoren te informeren, moeten de bevoegde autoriteiten contactpunten een gemeenschappelijke Uniebrede website opzetten om niet-vertrouwelijke informatie over de incidenten, en risico's en methoden voor risicobeperking bekend te maken en om, waar nodig, adviezen te verstrekken over passende onderhoudsmaatregelen. De informatie op de website dient toegankelijk te zijn, ongeacht de gebruikte apparatuur. Op de website gepubliceerde persoonsgegevens dienen beperkt te blijven tot hetgeen noodzakelijk is, waarbij de anonimiteit zoveel mogelijk wordt gewaarborgd. [Am. 18]

(17)  Wanneer informatie overeenkomstig uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, moet die vertrouwelijkheid worden gewaarborgd tijdens de activiteiten die noodzakelijk zijn ter verwezenlijking van de doelstellingen van deze verordening.

(18)  Uitgaande van de nationale ervaringen inzake crisisbeheer en in samenwerking met Enisa, moeten de Commissie en de lidstaten een NIB-samenwerkingsplan van de Unie opstellen waarin samenwerkingsmechanismen, beste praktijken en operationele patronen worden vastgesteld om risico's en incidenten te voorkomen, op te sporen, te rapporteren en aan te pakken. Met dat plan moet terdege rekening worden gehouden in de werking van het mechanisme voor vroegtijdige waarschuwing dat in het kader van het samenwerkingsnetwerk bestaat. [Am. 19]

(19)  Het geven van een vroegtijdige waarschuwing in het netwerk moet enkel worden voorgeschreven indien de omvang of ernst van het incident of risico van dien aard is of kan worden dat informatie over of coördinatie van de reactie op het niveau van de Unie vereist is. Vroegtijdige waarschuwingen moeten daarom worden beperkt tot mogelijke of daadwerkelijke incidenten of risico's die snel in omvang toenemen, de nationale reactiecapaciteit te boven gaan of meer dan een lidstaat treffen. Om een behoorlijke evaluatie mogelijk te maken, moet alle informatie die relevant is voor de beoordeling van het risico of incident, aan het samenwerkingsnetwerk worden meegedeeld. [Am. 20]

(20)  Zodra de bevoegde autoriteiten contactpunten een vroegtijdige waarschuwing hebben ontvangen en beoordeeld, moeten zij een gecoördineerde reactie op grond van het NIB-samenwerkingsplan van de Unie overeenkomen. Zowel de bevoegde autoriteiten contactpunten, Enisa als de Commissie moeten worden geïnformeerd over de maatregelen die als gevolg van de gecoördineerde reactie op nationaal niveau zijn genomen. [Am. 21]

(21)  Gezien het mondiale karakter van NIB-problemen is er behoefte aan nauwere internationale samenwerking om beveiligingsnormen en informatie-uitwisseling te verbeteren en een gemeenschappelijke internationale aanpak van NIB-kwesties te bevorderen. Kaders voor een dergelijke internationale samenwerking moeten voldoen aan Richtlijn 95/46/EG van het Europees Parlement en de Raad (5) en Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad(6). [Am. 22]

(22)  De verantwoordelijkheid voor het waarborgen van NIB ligt voor een groot deel bij overheden en de marktdeelnemers. Aan de hand van passende regelgevingseisen en sectorconvenanten moet een cultuur van risicobeheer, nauwe samenwerking en vertrouwen worden bevorderd en ontwikkeld, die risicobeoordeling en de uitvoering van aan de opzettelijke dan wel accidentele risico's en incidenten aangepaste beveiligingsmaatregelen behelst. Ook de totstandbrenging van een betrouwbaar gelijk speelveld is essentieel om te waarborgen dat alle lidstaten doeltreffend samenwerken in het samenwerkingsnetwerk. [Am. 23]

(23)  Krachtens Richtlijn 2002/21/EG moeten ondernemingen die openbare elektronischecommunicatienetwerken of openbaar beschikbare elektronischecommunicatiediensten aanbieden passende maatregelen nemen om de integriteit en veiligheid daarvan te vrijwaren en zijn eisen vastgesteld voor de melding van inbreuken op de beveiliging en het verlies van integriteit. Krachtens Richtlijn 2002/58/EG van het Europees Parlement en de Raad(7) moet een aanbieder van een openbaar beschikbare elektronischecommunicatiedienst passende technische en organisatorische maatregelen treffen om de beveiliging van zijn diensten te garanderen.

(24)  Deze verplichtingen moeten van de elektronischecommunicatiesector worden uitgebreid naar exploitanten van infrastructuur die sterk afhankelijk zijn van informatie- en communicatietechnologie en die essentieel zijn voor de instandhouding van vitale economische en maatschappelijke functies, zoals de stroom- en gasvoorziening, vervoer, kredietinstellingen, infrastructuur voor de financiële markt en gezondheidszorg. Verstoring van deze netwerk- en informatiesystemen zou de interne markt aantasten. Hoewel de in deze richtlijn genoemde verplichtingen weliswaar niet moeten worden uitgebreid naar belangrijke aanbieders van diensten van de informatiemaatschappij zoals gedefinieerd in Richtlijn 98/34/EG van het Europees Parlement en de Raad(8), die ten grondslag liggen aan stroomafwaartse diensten van de informatiemaatschappij of onlineactiviteiten zoals platforms voor elektronische handel, gateways voor internetbetalingen, sociaalnetwerksites, zoekmachines, cloudcomputingdiensten in het algemeen en internetwinkels die applicaties aanbieden Verstoring van deze ondersteunende diensten van de informatiemaatschappij belemmert de aanbieding van andere diensten van de informatiemaatschappij die daarvan in belangrijke mate afhankelijk zijn. Softwareontwikkelaars en hardwarefabrikanten zijn geen aanbieders van diensten van de informatiemaatschappij en zijn daarom uitgesloten. De genoemde verplichtingen moeten ook worden uitgebreid naar overheden en exploitanten van kritieke infrastructuur die sterk afhankelijk zijn van informatie- en communicatietechnologie en essentieel zijn voor de instandhouding van vitale economische en maatschappelijke functies zoals de voorziening van elektriciteit en gas, vervoer, kredietinstellingen, effectenbeurzen en gezondheidszorg. Verstoring van deze netwerk- en informatiesystemen zou de eengemaakte markt aantasten., zouden deze aanbieders de bevoegde autoriteit of het contactpunt op vrijwillige basis op de hoogte kunnen stellen van netwerkbeveiligingsincidenten waarvan zij dit nodig achten. De bevoegde autoriteit of het contactpunt dient, waar mogelijk, de marktdeelnemers die hen van het incident in kennis hebben gesteld, strategisch geanalyseerde informatie te verstrekken die dienstig is bij het oplossen van de bedreiging voor de beveiliging. [Am. 24]

(24 bis)  Hoewel leveranciers van hardware en software als marktdeelnemers niet vergelijkbaar zijn met de onder deze richtlijn vallende marktdeelnemers, zijn het hun producten die de beveiliging van netwerk- en informatiesystemen ondersteunen. Zij spelen derhalve een belangrijke rol doordat zij de marktdeelnemers in staat stellen hun netwerk- en informatie-infrastructuur te beveiligen. Aangezien voor hardware- en softwareproducten al de bestaande voorschriften inzake productaansprakelijkheid gelden, dienen de lidstaten op de handhaving van die voorschriften toe te zien. [Am. 25]

(25)  De technische en organisatorische maatregelen die aan overheden en marktdeelnemers worden opgelegd, mogen er niet toe nopen dat een bepaald commercieel informatie- en communicatietechnologieproduct op een bepaalde wijze moet worden ontworpen, ontwikkeld of vervaardigd. [Am. 26]

(26)  De overheden en marktdeelnemers moeten de beveiliging van de netwerken en systemen onder hun controle waarborgen. Het gaat daarbij voornamelijk om particuliere netwerken en systemen die door hun intern IT-personeel worden beheerd of waarvan de beveiliging is uitbesteed. De beveiligings- en meldingsverplichtingen moeten van toepassing zijn op de betrokken marktdeelnemers en overheden, ongeacht of zij het onderhoud van hun netwerk- en informatiesystemen intern verrichten dan wel uitbesteden. [Am. 27]

(27)  Om te voorkomen dat aan kleine exploitanten en gebruikers onevenredige financiële en administratieve lasten worden opgelegd, moeten de eisen, rekening houdend met de meest recente technische mogelijkheden, evenredig zijn met het risico dat verbonden is met het netwerk- of informatiesysteem in kwestie. Deze eisen mogen niet van toepassing zijn op micro-ondernemingen.

(28)  De bevoegde autoriteiten en contactpunten moeten de nodige aandacht besteden aan de instandhouding van informele en vertrouwde kanalen voor informatie-uitwisseling tussen marktdeelnemers en de publieke en private sector. De bevoegde autoriteiten en contactpunten dienen de fabrikanten en dienstverleners van getroffen ICT-producten en -diensten op de hoogte te stellen van de aan hen gemelde incidenten met een aanzienlijke impact. Bij de bekendmaking van aan de bevoegde autoriteiten en contactpunten gemelde incidenten moet het belang van het publiek om te worden geïnformeerd over bedreigingen, worden afgewogen tegen mogelijke commerciële en imagoschade voor de overheden en marktdeelnemers die incidenten melden. Bij het nakomen van de meldingsverplichtingen moeten de bevoegde autoriteiten en contactpunten bijzondere aandacht besteden aan de noodzaak om informatie over de kwetsbare punten van producten strikt vertrouwelijk te houden tot er passende herstel- en beveiligingsmaatregelen zijn genomen. Als regel mogen de contactpunten geen persoonsgegevens openbaar maken van personen die bij incidenten betrokken zijn. De contactpunten dienen persoonsgegevens alleen openbaar te maken indien de openbaarmaking van die gegevens noodzakelijk is en in verhouding staat tot het nagestreefde doel. [Am. 28]

(29)  De bevoegde autoriteiten moeten over de nodige middelen beschikken om hun taken uit te voeren, met inbegrip van de bevoegdheid om van marktdeelnemers en overheden de nodige informatie te eisen om het beveiligingsniveau van netwerk- en informatiesystemen te beoordelen en het aantal, de omvang en de reikwijdte van incidenten te meten, alsook betrouwbare en complete gegevens over reële incidenten die een impact op de werking van netwerk- en informatiesystemen hebben gehad. [Am. 29]

(30)  In veel gevallen liggen criminele activiteiten aan de oorsprong van een incident. De criminele aard van incidenten kan worden verondersteld, zelfs indien daar in het begin nog niet voldoende bewijs voor is. Tegen die achtergrond moet een doeltreffende en alomvattende reactie op de dreiging van beveiligingsincidenten leiden tot passende samenwerking tussen bevoegde autoriteiten, contactpunten en wetshandhavingsinstanties, alsook tot samenwerking met het EC3 (Centrum voor de bestrijding van cybercriminaliteit van Europol) en Enisa. Om een veilige, beveiligde en veerkrachtige omgeving te bevorderen, moeten incidenten waarvan wordt vermoed dat ze van ernstig criminele aard zijn, systematisch aan wetshandhavingsautoriteiten worden gemeld. Of incidenten van ernstig criminele aard zijn, moet worden beoordeeld in het licht van het recht van de Unie inzake cybercriminaliteit. [Am. 30]

(31)  In veel gevallen worden persoonsgegevens aangetast als gevolg van incidenten. De lidstaten en de marktdeelnemers moeten opgeslagen, verwerkte of verstuurde persoonsgegevens beschermen tegen accidentele of onwettige vernietiging, accidenteel wissen of wijzigen en ongeoorloofde of onwettige opslag, toegang, openbaarmaking of verspreiding, en moeten de invoering waarborgen van een beveiligingsbeleid met betrekking tot de verwerking van persoonsgegevens. Daarom moeten de bevoegde autoriteiten, de contactpunten en de autoriteiten voor gegevensbescherming samenwerken en informatie over alle relevante zaken uitwisselen, in voorkomend geval ook met de marktdeelnemers, om inbreuken in verband met persoonsgegevens als gevolg van incidenten aan te pakken overeenkomstig de toepasselijke voorschriften op het gebied van gegevensbescherming. Aan De lidstaten moeten de verplichting om beveiligingsincidenten te melden, gestalte geven moet worden voldaan op een wijze die de administratieve lasten minimaliseert wanneer het beveiligingsincident ook een inbreuk in verband met persoonsgegevens vormt die gemeld moet worden overeenkomstig de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(9) het recht van de Unie inzake gegevensbescherming. Enisa, dat in contact staat met de bevoegde autoriteiten en de autoriteiten voor gegevensbescherming, kan dient bijstand te verlenen door informatie-uitwisselingsmechanismen en modellen te ontwikkelen zodat er geen twee meldingsmodellen nodig zijn. Dit eenvormige een eenvormig meldingsmodel zou te ontwikkelen dat de rapportage van incidenten die persoonsgegevens aantasten, zou faciliteren en zo de administratieve lasten voor bedrijven en overheden zou verlichten. [Am. 31]

(32)  De normalisatie van beveiligingseisen is een marktgestuurd proces met een vrijwillig karakter dat de marktdeelnemers in staat moet stellen alternatieve middelen in te zetten voor het bereiken van ten minste vergelijkbare resultaten. Met het oog op een eenvormige toepassing van beveiligingsnormen, moeten de lidstaten naleving van of afstemming op specifieke interoperabele normen aanmoedigen om een hoog beveiligingsniveau op het niveau van de Unie te waarborgen. Daartoe moet worden overwogen om open internationale normen voor de beveiliging van netwerkinformatie toe te passen of om dergelijke instrumenten te ontwerpen. Verder kan het om vooruit te komen nodig zijn geharmoniseerde normen op te stellen, hetgeen moet gebeuren overeenkomstig Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad(10). Met name ETSI, CEN en CENELEC moeten een mandaat krijgen om effectieve en efficiënte open beveiligingsnormen voor de Unie voor te stellen, waarbij technologische voorkeuren zoveel mogelijk moeten worden vermeden, en deze normen dienen eenvoudig hanteerbaar te zijn voor kleine en middelgrote marktdeelnemers. Internationale normen in verband met de cyberveiligheid moeten zorgvuldig tegen het licht worden gehouden om te waarborgen dat ze geen risico vormen en zorgen voor een afdoende beveiligingsniveau, en derhalve garanderen dat door de vereiste naleving van de cyberbeveiligingsnormen het totale cyberbeveiligingsniveau van de Unie stijgt en niet het tegenovergestelde gebeurt. [Am. 32]

(33)  De Commissie moet deze richtlijn in overleg met alle belanghebbenden op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende maatschappelijke, politieke, technologische omstandigheden of marktomstandigheden moet worden gewijzigd. [Am. 33]

(34)  Teneinde de soepele werking van het samenwerkingsnetwerk mogelijk te maken, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen met het oog op het bepalen van de criteria die een lidstaat moet nakomen bij zijn deelname aan het inzake het gemeenschappelijke pakket interconnectie- en beveiligingsnormen voor de beveiligde informatie-uitwisselingssysteem, alsmede met het oog op informatie-uitwisselingsinfrastructuur en de verdere omschrijving van de gebeurtenissen die tot vroegtijdige waarschuwing leiden en de bepaling van de omstandigheden waarin marktdeelnemers en overheden verplicht zijn incidenten te melden. [Am. 34]

(35)  Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad.

(36)  Om uniforme voorwaarden voor de uitvoering van deze richtlijn te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden verleend met betrekking tot de samenwerking tussen de bevoegde autoriteiten contactpunten en de Commissie in het samenwerkingsnetwerk, de toegang tot de beveiligde informatie-uitwisselingsinfrastructuur, onverminderd op nationaal niveau bestaande samenwerkingsmechanismen, het NIB-samenwerkingsplan van de Unie, en de formaten en procedures om het publiek in te lichten over voor het melden van incidenten, en de voor NIB relevante normen en/of technische specificaties met een aanzienlijke impact. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad(11). [Am. 35]

(37)  Bij de toepassing van deze richtlijn moet de Commissie waar passend contacten onderhouden met de relevante sectorale comités en de op EU-niveau Unieniveau opgerichte relevante organen, met name op het gebied van e-overheid, energie, vervoer, en gezondheid en defensie. [Am. 36]

(38)  Informatie die door een bevoegde autoriteit of een contactpunt overeenkomstig de uniale en nationale voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie als vertrouwelijk wordt beschouwd, mag uitsluitend met de Commissie, en haar relevante agentschappen, contactpunten en/of andere nationale bevoegde autoriteiten worden uitgewisseld wanneer die uitwisseling strikt noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie moet beperkt zijn tot hetgeen relevant en noodzakelijk is voor en evenredig met het doel van een dergelijke uitwisseling, met inachtneming van vooraf vastgestelde criteria voor vertrouwelijkheid en beveiliging overeenkomstig Besluit 2011/292/EU, en informatie waarop geheimhoudingsovereenkomsten of informele geheimhoudingsovereenkomsten van toepassing zijn, zoals het verkeerslichtprotocol. [Am. 37]

(39)  Voor de uitwisseling van informatie over risico's en incidenten in het samenwerkingsnetwerk en de naleving van de voorschriften inzake het melden van incidenten aan de nationale bevoegde autoriteiten of het nationale contactpunt, kan het nodig zijn persoonsgegevens te verwerken. Zulke verwerking van persoonsgegevens is noodzakelijk ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang en is dus gerechtvaardigd uit hoofde van artikel 7 van Richtlijn 95/46/EG. Zij vormt, met betrekking tot deze gerechtvaardigde doelen, geen onevenredige en onduldbare ingreep waardoor het recht op de door artikel 8 van het Handvest van grondrechten van de Europese Unie gewaarborgde bescherming van persoonsgegevens in zijn kern wordt aangetast. Waar zulks passend is, moet bij de toepassing van deze richtlijn Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad(12) van toepassing zijn. Wanneer door de instellingen en organen van de Unie gegevens worden verwerkt, is deze verwerking met het oog op de uitvoering van deze richtlijn onderworpen aan Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad. [Am. 38]

(40)  Daar de doelstellingen van deze richtlijn, namelijk het veiligstellen van een hoog niveau van NIB in de Unie, niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt maar vanwege de gevolgen van de maatregelen, beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om die doelstellingen te verwezenlijken.

(41)  Deze richtlijn is in overeenstemming met de grondrechten en beginselen die door het Handvest van de grondrechten van de Europese Unie worden erkend, met name het recht op eerbiediging van het privéleven en communicatie, de vrijheid van ondernemerschap, het recht op eigendom, het recht op een doeltreffende voorziening in rechte en het recht te worden gehoord. Deze richtlijn moet overeenkomstig deze rechten en beginselen ten uitvoer worden gelegd.

(41 bis)  Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken hebben de lidstaten zich ertoe verbonden om, indien zulks gerechtvaardigd is, de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van een of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsteksten wordt toegelicht. Met betrekking tot deze richtlijn acht de wetgever de toezending van dergelijke stukken gerechtvaardigd. [Am. 39]

(41 ter)  De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 is geraadpleegd en heeft op 14 juni 2013 een advies(13) uitgebracht,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en toepassingsgebied

1.  Bij deze richtlijn worden maatregelen vastgesteld om in de Unie een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging ("NIB") te waarborgen.

2.  Daartoe wordt bij deze richtlijn in het volgende voorzien:

a)  de vaststelling van verplichtingen voor alle lidstaten met betrekking tot de preventie en behandeling van en de reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen;

b)  de oprichting van een mechanisme voor samenwerking tussen de lidstaten met het oog op een uniforme toepassing van deze richtlijn in de Unie en, waar nodig, een gecoördineerde, efficiënte en doeltreffende behandeling van en reactie op risico's en incidenten met betrekking tot netwerken en informatiesystemen, met de participatie van de betrokken partijen; [Am. 40]

c)  de vaststelling van beveiligingseisen voor marktdeelnemers en overheden. [Am. 41]

3.  De beveiligingseisen van artikel 14 van deze richtlijn zijn niet van toepassing op ondernemingen die openbare communicatienetwerken of openbare elektronischecommunicatiediensten in de zin van Richtlijn 2002/21/EG aanbieden, welke aan de specifieke veiligheids- en integriteitseisen van de artikelen 13 bis en 13 ter van die richtlijn zijn onderworpen, noch op verleners van vertrouwensdiensten.

4.  Deze richtlijn laat het recht van de Unie inzake cybercriminaliteit en Richtlijn 2008/114/EG van de Raad(14), onverlet.

5.  Deze richtlijn laat Richtlijn 95/46/EG en Richtlijn 2002/58/EG alsmede de Verordening (EG) nr. 45/2001, eveneens onverlet. Het gebruik van de persoonsgegevens blijft beperkt tot hetgeen strikt noodzakelijk is voor de toepassing van deze richtlijn, en die gegevens moeten zo anoniem mogelijk, zo al niet volledig anoniem zijn.[Am. 42]

6.  Voor de uitwisseling van informatie in het samenwerkingsnetwerk krachtens hoofdstuk III en de melding van NIB-incidenten krachtens artikel 14 kan de verwerking van persoonsgegevens vereist zijn. Deze verwerking, die noodzakelijk is ter verwezenlijking van de met deze richtlijn nagestreefde doelstellingen van algemeen belang, wordt door de lidstaten toegestaan uit hoofde van artikel 7 van Richtlijn 95/46/EG en Richtlijn 2002/58/EG, zoals in de nationale wetgeving ten uitvoer gelegd.

Artikel 1 bis

Bescherming en verwerking van persoonsgegevens

1.  De verwerking van persoonsgegevens in de lidstaten krachtens deze richtlijn wordt uitgevoerd in overeenstemming met Richtlijn 95/46/EG en Richtlijn 2002/58/EG.

2.  De verwerking van persoonsgegevens door de Commissie en Enisa krachtens deze richtlijn wordt uitgevoerd in overeenstemming met Verordening (EG) nr. 45/2001.

3.  De verwerking van persoonsgegevens door het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol voor de toepassing van deze richtlijn wordt uitgevoerd krachtens Besluit 2009/371/JBZ van de Raad(15).

4.  De verwerking van persoonsgegevens verloopt eerlijk en rechtmatig en blijft strikt beperkt tot het minimum aan gegevens dat nodig is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt. Deze worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

5.  Meldingen van incidenten als bedoeld in artikel 14 van deze richtlijn laten de bepalingen en verplichtingen inzake de melding van inbreuken in verband met persoonsgegevens zoals uiteengezet in artikel 4 van Richtlijn 2002/58/EG en in Verordening (EU) nr. 611/2013 van de Commissie(16) onverlet. [Am. 43]

Artikel 2

Minimumharmonisatie

Onverminderd de krachtens het recht van de Unie op hen rustende verplichtingen worden de lidstaten er niet van weerhouden bepalingen die een hoger niveau van beveiliging waarborgen, aan te nemen of te handhaven.

Artikel 3

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

(1)  "netwerk- en informatiesysteem":

a)  een elektronischecommunicatienetwerk in de zin van Richtlijn 2002/21/EG; en

b)  een apparaat of groep van onderling verbonden of bij elkaar behorende apparaten, waarvan een of meer, overeenkomstig een programma, computergegevens digitale gegevens automatisch verwerkt of verwerken; alsook [Am. 44]

c)  computergegevens digitale gegevens die met onder a) en b) bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan. [Am. 45]

(2)  "beveiliging": het vermogen van een netwerk- en informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerk- en informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen; "beveiliging" omvat passende technische apparaten, oplossingen en exploitatieprocedures ter waarborging van de naleving van de in deze richtlijn vastgelegde beveiligingseisen; [Am. 46]

(3)  "risico": elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijk schadelijk effect op de beveiliging; [Am. 47]

(4)  "incident": elke omstandigheid of gebeurtenis met een daadwerkelijk schadelijk effect op de beveiliging; [Am. 48]

(5)  "dienst van de informatiemaatschappij": een dienst in de zin van artikel 1, punt 2, van Richtlijn 98/34/EG; [Am. 49]

(6)  "NIB-samenwerkingsplan": een plan waarin het kader voor organisatorische taken, verantwoordelijkheden en procedures is vastgesteld om de werking van netwerken en informatiesystemen te handhaven of te herstellen wanneer deze door een risico of incident worden getroffen;

(7)  "incidentenbehandeling": alle procedures ter ondersteuning van de opsporing, preventie, analyse en beheersing van en reactie op een incident; [Am. 50]

(8)  "marktdeelnemer":

(a)  een aanbieder van diensten van de informatiemaatschappij die de verlening van andere diensten van de informatiemaatschappij mogelijk maken; een niet-exhaustieve lijst hiervan is opgenomen in bijlage II; [Am. 51]

b)  een exploitant van kritische infrastructuur die essentieel is voor de handhaving van vitale economische en maatschappelijke activiteiten op het gebied van energie, vervoer, bankieren, effectenbeurzen infrastructuur voor de financiële markt, internetverdeelpunten, de voedselvoorzieningsketen en gezondheid;, en waarvan de verstoring of vernietiging een aanzienlijke impact in een lidstaat zou hebben als gevolg van het niet in stand houden van die functies, waarvan een niet-exhaustieve lijst hiervan is opgenomen in bijlage II, voor zover de betreffende netwerk- en informatiesystemen verband houden met zijn kerndiensten; [Am. 52]

(8 bis)  "incident met een aanzienlijke impact": een incident dat de beveiliging en continuïteit van een informatienetwerk of -systeem aantast en tot ernstige verstoring van vitale economische of maatschappelijke functies leidt; [Am. 53]

(9)  "norm": een norm als bedoeld in Verordening (EU) nr. 1025/2012;

(10)  "specificatie": een specificatie als bedoeld in Verordening (EU) nr. 1025/2012;

(11)  "aanbieder van vertrouwensdiensten": een natuurlijke of rechtspersoon die elektronische diensten aanbiedt bestaande uit het aanmaken, verifiëren, valideren, hanteren en bewaren van elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, elektronische documenten, elektronische bezorgingsdiensten, website-authenticatie en elektronische certificaten, met inbegrip van certificaten voor elektronische handtekeningen en voor elektronische zegels;

(11 bis)  "gereglementeerde markt": een gereglementeerde markt in de zin van artikel 4, punt 14, van Richtlijn 2004/39/EG van het Europees Parlement en de Raad(17); [Am. 54]

(11 ter)  "multilaterale handelsfaciliteit (MTF)": een multilaterale handelsfaciliteit in de zin van artikel 4, punt 15, van Richtlijn 2004/39/EG; [Am. 55]

(11 quater)  "georganiseerde handelsfaciliteit": een door een beleggingsonderneming of een marktexploitant geëxploiteerd multilateraal systeem of faciliteit, anders dan een gereglementeerde markt, een multilaterale handelsfaciliteit of een centrale tegenpartij, waarin meerdere koop- en verkoopintenties van derden met betrekking tot obligaties, gestructureerde financiële producten, emissierechten of derivaten op zodanige wijze met elkaar in contact kunnen komen dat er een overeenkomst uit voortvloeit overeenkomstig titel II van Richtlijn 2004/39/EG. [Am. 56]

HOOFDSTUK II

NATIONALE KADERS VOOR NETWERK- EN INFORMATIEBEVEILIGING

Artikel 4

Beginsel

Overeenkomstig deze richtlijn waarborgen de lidstaten een hoog beveiligingsniveau van de netwerk- en informatiesystemen op hun grondgebied.

Artikel 5

Nationale NIB-strategie en nationaal NIB-samenwerkingsplan

1.  Elke lidstaat stelt een nationale NIB-strategie vast waarin de strategische doelstellingen en de concrete beleids- en regelgevingsmaatregelen ter waarborging van een hoog niveau van netwerk- en informatiebeveiliging worden omschreven. De nationale NIB-strategie voorziet met name in het volgende:

a)  de bepaling van de doelstellingen en prioriteiten van de strategie op basis van een actuele risico- en incidentenanalyse;

b)  een governancekader ter verwezenlijking van de strategische doelstellingen en prioriteiten, met inbegrip van een duidelijke bepaling van de taken en verantwoordelijkheden van de overheidsorganen en de andere betrokken actoren;

c)  de aanwijzing van de algemene maatregelen inzake paraatheid, reactie en herstel, met inbegrip van mechanismen voor samenwerking tussen de publieke en de private sector;

d)  een vermelding van de scholings-, bewustmakings- en opleidingsprogramma's;

e)  plannen voor onderzoek en ontwikkeling en een beschrijving van de wijze waarop deze plannen de aangewezen prioriteiten weerspiegelen;

e bis)  de lidstaten kunnen Enisa om bijstand vragen bij de ontwikkeling van hun nationale NIB-strategie en nationaal NIB-samenwerkingsplan aan de hand van een gemeenschappelijke minimale NIB-strategie. [Am. 57]

2.  De nationale NIB-strategie omvat een nationaal NIB-samenwerkingsplan waarin ten minste het volgende is opgenomen:

a)  een risicobeoordelingsplan om risicobeheerskader tot vaststelling van een methode voor de identificering, prioritering, evaluatie en behandeling van risico's te vast te stellen en , de beoordeling van de impact van mogelijke incidenten te beoordelen , preventie- en beheersingsopties, en tot vaststelling van criteria voor de keuze van mogelijke tegenmaatregelen; [Am. 58]

b)  de omschrijving van de taken en verantwoordelijkheden van de verscheidene autoriteiten en andere actoren die bij de uitvoering van het plan kader betrokken zijn; [Am. 59]

c)  de omschrijving van samenwerkings- en communicatieprocessen die preventie, opsporing, reactie en herstel waarborgen en aan het alarmniveau zijn aangepast;

d)  een stappenplan voor NIB-oefeningen en -opleiding om het plan te versterken, valideren en testen. Praktijkervaringen moeten worden gedocumenteerd en in nieuwe aanpassingen van het plan worden verwerkt.

3.  De nationale NIB-strategie en het nationale NIB-samenwerkingsplan worden binnen een maand drie maanden na de vaststelling ervan aan de Commissie toegezonden. [Am. 60]

Artikel 6

Nationale autoriteit bevoegde autoriteiten en nationaal contactpunt voor de beveiliging van netwerk- en informatiesystemen [Am. 61]

1.  Elke lidstaat wijst een of meer voor de beveiliging van netwerk- en informatiesystemen bevoegde civiele nationale autoriteit autoriteiten (hierna de "bevoegde autoriteit" autoriteit/autoriteiten" genoemd) aan. [Am. 62]

2.  De bevoegde autoriteiten monitoren de toepassing van deze richtlijn op nationaal niveau en dragen bij aan de consistente toepassing ervan in de Unie.

2 bis.  Indien een lidstaat meer dan een bevoegde autoriteit aanwijst, wijst hij een nationale civiele autoriteit, bijvoorbeeld een bevoegde autoriteit, aan als nationaal uniek contactpunt voor de beveiliging van netwerk- en informatiesystemen ("contactpunt"). Indien een lidstaat slechts één bevoegde autoriteit aanwijst, is die bevoegde autoriteit tevens het contactpunt. [Am. 63]

2 ter.  De bevoegde autoriteiten en het contactpunt van een en dezelfde lidstaat werken nauw samen met betrekking tot de in deze richtlijn vastgestelde verplichtingen. [Am. 64]

2 quater.  Het contactpunt waarborgt de grensoverschrijdende samenwerking met de andere contactpunten. [Am. 65]

3.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten over de nodige technische, financiële en personele middelen beschikken om de hun toegewezen taken op doeltreffende en efficiënte wijze te kunnen verrichten en aldus de doelstellingen van deze richtlijn te verwezenlijken. De lidstaten zorgen ervoor dat de bevoegde autoriteiten contactpunten op doeltreffende, efficiënte en veilige wijze samenwerken middels het in artikel 8 bedoelde netwerk. [Am. 66]

4.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten, indien van toepassing overeenkomstig lid 2 bis van dit artikel, de meldingen van incidenten van overheden en marktdeelnemers ontvangen overeenkomstig artikel 14, lid 2, en dat hun de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden worden verleend. [Am. 67]

4 bis.  Wanneer het Unierecht voorziet in een sectorspecifieke toezichthoudende of regelgevende instantie van de Unie, onder meer met betrekking tot de beveiliging van netwerk- en informatiesystemen, ontvangt die instantie de meldingen van incidenten overeenkomstig artikel 14, lid 2, van de betrokken marktdeelnemers in die sector en krijgt de in artikel 15 bedoelde uitvoerings- en handhavingsbevoegdheden. Die instantie van de Unie werkt wat betreft die verplichtingen nauw samen met de bevoegde autoriteiten en het contactpunt van de lidstaat van ontvangst. Het contactpunt van de lidstaat van ontvangst vertegenwoordigt de instantie van de Unie wat betreft de in hoofdstuk III bedoelde verplichtingen. [Am. 68]

5.  Indien nodig raadplegen de bevoegde autoriteiten en contactpunten de betrokken nationale wetshandhavingsinstanties en gegevensbeschermingsautoriteiten en werken zij daarmee samen. [Am. 69]

6.  Elke lidstaat stelt de Commissie onverwijld in kennis van de aanwijzing van de bevoegde autoriteit autoriteiten en het contactpunt, van haar hun taken, en van elke latere wijziging daarvan. Elke lidstaat maakt zijn aanwijzing van de bevoegde autoriteit autoriteiten openbaar. [Am. 70]

Artikel 7

Computercrisisteams

1.  Elke lidstaat zet een ten minste één computercrisisteam (Computer Emergency Response Team – CERT) voor elk van de in bijlage II genoemde sectoren op dat verantwoordelijk is voor de behandeling van incidenten en risico's, volgens een welomschreven proces dat voldoet aan de eisen van bijlage I, punt 1). Een CERT mag worden opgericht binnen de bevoegde autoriteit. [Am. 71]

2.  De lidstaten zorgen ervoor dat CERT's over de nodige technische, financiële en personele middelen beschikken om hun in bijlage I, punt 2, vastgestelde taken doeltreffend uit te voeren.

3.  De lidstaten zorgen ervoor dat CERT's gebruikmaken van een beveiligde en veerkrachtige communicatie- en informatiestructuur op nationaal niveau, die compatibel en interoperabel is met het in artikel 9 bedoelde beveiligde informatie-uitwisselingssysteem.

4.  De lidstaten informeren de Commissie over de middelen en het mandaat alsook over de incidentenbehandelingsprocedure van de CERT's.

5.  Het CERT oefent zijn De CERT’s oefenen hun taken uit onder toezicht van de bevoegde autoriteit, die of het contactpunt, die/dat regelmatig de adequaatheid van de middelen, en het mandaat van de CERT's en de doeltreffendheid van de hun incidentenbehandelingsprocedure ervan evalueert. [Am. 72]

5 bis.  De lidstaten zorgen ervoor dat de CERT’s over passende personele en financiële middelen beschikken om actief deel te nemen in internationale en met name uniale samenwerkingsnetwerken. [Am. 73]

5 ter.  De CERT's worden in staat gesteld en aangemoedigd tot het organiseren van en deelnemen aan gezamenlijke oefeningen met andere CERT's, met de CERT's van de lidstaten en met passende instellingen van niet-lidstaten, alsook met de CERT's van multinationale en internationale instellingen, zoals de Noord-Atlantische Verdragsorganisatie en de Verenigde Naties. [Am. 74]

5 quater.  De lidstaten kunnen Enisa of andere lidstaten om bijstand vragen bij de ontwikkeling van hun nationale CERT's. [Am. 75]

HOOFDSTUK III

SAMENWERKING TUSSEN BEVOEGDE AUTORITEITEN

Artikel 8

Samenwerkingsnetwerk

1.  De bevoegde autoriteiten en contactpunten, de Commissie en Enisa vormen een netwerk ("samenwerkingsnetwerk") om samen op te treden tegen risico's en incidenten met betrekking tot netwerk- en informatiesystemen. [Am. 76]

2.  Het samenwerkingsnetwerk brengt permanente communicatie tussen de Commissie en de bevoegde autoriteiten contactpunten tot stand. Het Europees Agentschap voor netwerk- en informatiebeveiliging ("Enisa") staat het samenwerkingsnetwerk op verzoek bij met zijn deskundigheid en advies. In voorkomend geval kunnen ook marktdeelnemers en aanbieders van cyberbeveiligingsdiensten worden uitgenodigd om deel te nemen aan de in lid 3, onder g) en i), bedoelde activiteiten van het samenwerkingsnetwerk.

Waar dit relevant is, werkt het samenwerkingsnetwerk samen met de gegevensbeschermingsautoriteiten.

De Commissie stelt het samenwerkingsnetwerk regelmatig op de hoogte van het beveiligingsonderzoek en andere relevante programma's in het kader van Horizon 2020. [Am. 77]

3.  Binnen het samenwerkingsnetwerk doen de bevoegde autoriteiten contactpunten het volgende:

a)  zij verspreiden vroegtijdige waarschuwingen over risico's en incidenten overeenkomstig artikel 10;

b)  zij zorgen voor een gecoördineerde reactie overeenkomstig artikel 11;

c)  zij maken regelmatig niet-vertrouwelijke informatie over vroegtijdige waarschuwingen en gecoördineerde reacties die op dat moment worden verspreid of aan de gang zijn, bekend op een gemeenschappelijke website.

d)  zij bespreken en beoordelen gezamenlijk, op verzoek van een lidstaat of van de Commissie, een of meer in artikel 5 bedoelde nationale NIB-strategieën en nationale NIB-samenwerkingsplannen, binnen het toepassingsgebied van deze richtlijn. ;

e)  zij bespreken en beoordelen gezamenlijk, op verzoek van een lidstaat of van de Commissie, de doeltreffendheid van de CERT's, met name wanneer er NIB-oefeningen worden verricht op het niveau van de Unie;

f)  zij werken samen met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol, en met andere relevante Europese instanties en wisselen informatie met deze instanties expertise uit over alle relevante kwesties uit met het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol, en met andere relevante Europese instanties betreffende netwerk- en informatiebeveiliging, met name op het gebied van gegevensbescherming, energie, vervoer, bankieren, effectenbeurzen financiële markten en gezondheid;

f bis)  zij informeren, waar dit passend is, door middel van verslaglegging de EU-coördinator voor terrorismebestrijding, en zij kunnen verzoeken om bijstand met het oog op de analyses, de voorbereidende werkzaamheden en het optreden van het samenwerkingsnetwerk;

g)  zij wisselen onderling en met de Commissie beste praktijken uit en verlenen elkaar bijstand bij het opbouwen van capaciteit op het gebied van NIB;

h)  zij organiseren regelmatig collegiale toetsingen met betrekking tot capaciteit en paraatheid;

i)  zij organiseren NIB-oefeningen op het niveau van de Unie en nemen indien passend deel aan internationale NIB-oefeningen.

i bis)  zij streven naar de betrokkenheid van de marktdeelnemers, raadplegen hen en wisselen, waar dat dienstig is, informatie met hen uit over de risico's en de incidenten die hun netwerk- en informatiesystemen treffen;

i ter)  zij ontwikkelen samen met Enisa richtsnoeren voor sectorspecifieke criteria voor de melding van incidenten met een aanzienlijke impact, in aanvulling op de in artikel 14, lid 2, vastgestelde parameters, ten behoeve van een gemeenschappelijke interpretatie, consistente toepassing en coherente uitvoering binnen de Unie. [Am. 78]

3 bis.  Het samenwerkingsnetwerk publiceert eenmaal per jaar een verslag dat gebaseerd is op de activiteiten van het netwerk en het overeenkomstig artikel 14, lid 4, ingediende samenvattende verslag over de afgelopen twaalf maanden. [Am. 79]

4.  De Commissie stelt, door middel van uitvoeringshandelingen, de nodige maatregelen vast om de in de leden 2 en 3 bedoelde samenwerking tussen de bevoegde autoriteiten en contactpunten, de Commissie en Enisa te faciliteren. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 19, lid 2 3, bedoelde raadplegingsprocedure onderzoeksprocedure. [Am. 80]

Artikel 9

Beveiligd informatie-uitwisselingssysteem

1.  De uitwisseling van gevoelige en vertrouwelijke informatie binnen het samenwerkingsnetwerk moet plaatsvinden via een beveiligde infrastructuur.

1 bis.  De deelnemers aan de uitwisseling via de beveiligde infrastructuur nemen tijdens alle fasen van de verwerking o.a. passende vertrouwelijkheids- en beveiligingsmaatregelen overeenkomstig Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 in acht. [Am. 81]

2.  De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handelingen vast te stellen met betrekking tot de bepaling van de criteria die een lidstaat moet nakomen om aan het beveiligde informatie-uitwisselingsnetwerk te mogen deelnemen, wat betreft:

(a)  de beschikbaarheid van beveiligde en veerkrachtige communicatie- en informatie-infrastructuur op nationaal niveau, die overeenkomstig artikel 7, lid 3, compatibel en interoperabel is met de beveiligde infrastructuur van het samenwerkingsnetwerk; en

(b)  de aanwezigheid krachtens artikel 6, lid 3, artikel 7, lid 2, en artikel 7, lid 3, van de nodige technische, financiële en personele middelen en processen voor hun bevoegde autoriteit en CERT, om op doeltreffende, efficiënte en veilige wijze aan het beveiligde informatie-uitwisselingssysteem te kunnen deelnemen. [Am. 82]

3.  De Commissie stelt overeenkomstig artikel 18 uitvoeringshandelingen, besluiten inzake de toegang van de lidstaten tot deze beveiligde infrastructuur vast, krachtens de in de leden 2 en 3 bedoelde criteria. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld gedelegeerde handelingen vast met betrekking tot een gemeenschappelijk pakket interconnectie- en beveiligingsnormen waar de contactpunten aan moeten voldoen voordat zij gevoelige en vertrouwelijke informatie mogen uitwisselen binnen het samenwerkingsnetwerk. [Am. 83]

Artikel 10

Vroegtijdige waarschuwingen

1.  De bevoegde autoriteiten contactpunten of de Commissie geven binnen het samenwerkingsnetwerk vroegtijdige waarschuwingen over risico's en incidenten die aan ten minste een van de volgende voorwaarden voldoen:

(a)  zij nemen snel in omvang toe of kunnen snel in omvang toenemen;

b)  zij gaan de inschatting van het contactpunt is dat het risico of het incident de nationale reactiecapaciteit mogelijk te boven of kunnen die te boven gaan gaat;

c)  zij treffen de inschatting van de contactpunten of de Commissie is dat het risico of het incident meer dan een lidstaat of kunnen meer dan een lidstaat treffen treft. [Am. 84]

2.  De bevoegde autoriteiten contactpunten en de Commissie doen de vroegtijdige waarschuwingen onverwijld vergezeld gaan van alle relevante informatie waarover zij beschikken die nuttig kan zijn voor de beoordeling van het risico of incident. [Am. 85]

3.  De Commissie kan op verzoek van een lidstaat of op eigen initiatief een lidstaat verzoeken relevante informatie te verstrekken over een specifiek risico of incident. [Am. 86]

4.  Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van criminele aard is, stellen de bevoegde autoriteiten of de Commissie en wanneer de betreffende marktdeelnemer melding heeft gedaan van in artikel 15, lid 4, bedoelde incidenten waarvan wordt vermoed dat zij van ernstig criminele aard zijn, zorgen de lidstaten ervoor dat het Europees Centrum voor de bestrijding van cybercriminaliteit van Europol in voorkomend geval in kennis wordt gesteld. [Am. 87]

4 bis.  De leden van het samenwerkingsnetwerk maken informatie over risico’s en incidenten zoals bedoeld in lid 1 alleen openbaar na voorafgaande toestemming daartoe van het contactpunt waarvan zij die informatie hebben ontvangen.

Bovendien stelt het kennisgevende contactpunt, voorafgaand aan het delen van informatie in het samenwerkingsnetwerk, de marktdeelnemer op wie de informatie betrekking heeft op de hoogte van zijn voornemen en maakt het, wanneer het dit passend acht, de informatie anoniem. [Am. 88]

4 ter.  Wanneer wordt vermoed dat het risico of incident dat het voorwerp van een vroegtijdige waarschuwing vormt, van ernstige grensoverschrijdende technische aard is, stellen de contactpunten of de Commissie Enisa in kennis. [Am. 89]

5.  De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handelingen vast te stellen met betrekking tot de verdere omschrijving van de risico's en incidenten die aanleiding geven tot de in lid 1 van dit artikel bedoelde vroegtijdige waarschuwingen.

Artikel 11

Gecoördineerde reactie

1.  Na een in artikel 10 bedoelde vroegtijdige waarschuwing komen de bevoegde autoriteiten contactpunten, na de relevante informatie te hebben beoordeeld, onverwijld een gecoördineerde reactie overeen overeenkomstig het in artikel 12 bedoelde NIB-plan van de Unie. [Am. 90]

2.  De diverse maatregelen die als gevolg van de gecoördineerde actie op nationaal niveau worden vastgesteld, worden aan het samenwerkingsnetwerk meegedeeld.

Artikel 12

NIB-samenwerkingsplan van de Unie

1.  De Commissie is bevoegd, middels uitvoeringshandelingen, een NIB-samenwerkingsplan van de Unie vast te stellen. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.

2.  Het NIB-samenwerkingsplan van de Unie voorziet in het volgende:

a)  voor de toepassing van artikel 10:

–  een bepaling van het formaat en de procedures voor de vergaring en de uitwisseling van compatibele en vergelijkbare informatie over risico's en incidenten door de bevoegde autoriteiten contactpunten; [Am. 91]

–  een bepaling van de procedures en de criteria voor de beoordeling van de risico's en incidenten door het samenwerkingsnetwerk;

b)  de procedures die moeten worden gevolgd voor de gecoördineerde reacties krachtens artikel 11, met inbegrip van de vaststelling van taken en verantwoordelijkheden en samenwerkingsprocedures;

c)  een stappenplan voor NIB-oefeningen en -opleiding om het plan te versterken, te valideren en te testen;

d)  een programma voor de overdracht van kennis tussen de lidstaten met betrekking tot capaciteitsopbouw en intercollegiaal leren;

e)  een programma voor bewustmaking en opleiding tussen de lidstaten.

3.  Het NIB-samenwerkingsplan van de Unie wordt uiterlijk een jaar na de inwerkingtreding van deze richtlijn vastgesteld en wordt regelmatig getoetst. De resultaten van iedere toetsing worden aan het Europees Parlement meegedeeld. [Am. 92]

3 bis.  De samenhang tussen het NIB-samenwerkingsplan van de Unie en de nationale NIB-strategieën en ‑samenwerkingsplannen als bedoeld in artikel 5 wordt gewaarborgd. [Am. 93]

Artikel 13

Internationale samenwerking

Onverminderd de mogelijkheid van het samenwerkingsnetwerk om op informele basis internationaal samen te werken, kan de Unie internationale overeenkomsten met derde landen of internationale organisaties sluiten waarbij hun deelname aan bepaalde activiteiten van het samenwerkingsnetwerk mogelijk wordt gemaakt en georganiseerd. In zulke overeenkomsten wordt houden rekening gehouden met de noodzaak om afdoende bescherming te waarborgen van de persoonsgegevens die in het samenwerkingsnetwerk circuleren, en wordt de controleprocedure beschreven die moet worden gevolgd om de bescherming van die persoonsgegevens te waarborgen. Het Europees Parlement wordt in kennis worden gesteld van de onderhandelingen over de overeenkomsten. De overdracht van persoonsgegevens aan ontvangers in landen buiten de Unie vindt plaats overeenkomstig de artikelen 25 en 26 van Richtlijn 95/46/EG en artikel 9 van Verordening (EG) nr. 45/2001. [Am. 94]

Artikel 13 bis

Niveau van kriticiteit van marktdeelnemers

De lidstaten kunnen het niveau van kriticiteit van marktdeelnemers vaststellen, rekening houdend met de specifieke kenmerken van de sectoren, parameters waaronder het belang van een bepaalde marktdeelnemer voor het voldoende op peil houden van de sectorale dienstverlening, het aantal partijen dat door de marktdeelnemer wordt bediend en hoe lang het duurt voordat de onderbreking van de kerndiensten van de marktdeelnemer negatieve gevolgen heeft voor de handhaving van vitale economische en maatschappelijke activiteiten. [Am. 95]

HOOFDSTUK IV

BEVEILIGING VAN DE NETWERKEN EN OVERHEDEN EN MARKTDEELNEMERS

Artikel 14

Beveiligingseisen en melding van incidenten

1.  De lidstaten zorgen ervoor dat overheden en de marktdeelnemers passende en evenredige technische en organisatorische maatregelen nemen ter met het oog op de opsporing en doeltreffende beheersing van de risico's voor de beveiliging van de netwerken en informatiesystemen die zij controleren en bij hun activiteiten gebruiken. Deze Die maatregelen zorgen, rekening houdend met de stand van de techniek, voor een beveiligingsniveau dat is afgestemd op de risico's die zich voordoen. Overheden en marktdeelnemers nemen Er worden met name maatregelen genomen om de impact incidenten die de beveiliging van hun netwerk- en informatiesystemen aantasten, te voorkomen en te minimaliseren van incidenten met betrekking tot hun netwerk- en informatiesysteem op de gevolgen ervan voor de door hen verleende kerndiensten te minimaliseren en aldus te zorgen voor de continuïteit van de op die netwerken en informatiesystemen gebaseerde diensten. [Am. 96]

2.  De lidstaten zorgen ervoor dat overheden en de marktdeelnemers incidenten met een aanzienlijke impact op de beveiliging continuïteit van de door hen verleende kerndiensten onverwijld aan de bevoegde autoriteiten of het contactpunt melden. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid.

Om te bepalen of de impact van een incident aanzienlijk is, worden o.a. de volgende parameters in aanmerking genomen: [Am. 97]

a)  het aantal gebruikers bij wie de kerndienst gestoord is; [Am. 98]

b)  de duur van het incident; [Am. 99]

c)  de omvang van het geografische gebied dat door het incident is getroffen. [Am. 100]

Die parameters worden nader gespecificeerd overeenkomstig artikel 8, lid 3, punt i ter. [Am. 101]

2 bis.  De marktdeelnemers melden de in de leden 1 en 2 bedoelde incidenten aan de bevoegde autoriteit of het contactpunt in de lidstaat waar de kerndienst gestoord is. Indien de kerndiensten in meer dan een lidstaat zijn gestoord, waarschuwt het contactpunt dat de melding heeft ontvangen, op basis van de door de marktdeelnemer verstrekte informatie de andere betrokken contactpunten. De marktdeelnemer wordt zo snel mogelijk in kennis gesteld van de andere contactpunten die op de hoogte zijn gesteld van het incident, en van de eventueel ondernomen stappen, resultaten en andere voor het incident relevante informatie. [Am. 102]

2 ter.  Indien de melding persoonsgegevens bevat, worden deze binnen de bevoegde autoriteit of het contactpunt die/dat de melding heeft ontvangen, uitsluitend bekendgemaakt aan de ontvangers die deze gegevens moeten verwerken om hun taken te vervullen overeenkomstig de voorschriften inzake gegevensbescherming. De bekendgemaakte gegevens zijn beperkt tot hetgeen noodzakelijk is voor de vervulling van hun taken. [Am. 103]

2 quater.  Marktdeelnemers die niet onder bijlage II vallen, kunnen incidenten, als bedoeld in artikel 14, lid 2, vrijwillig melden. [Am. 104]

3.  Leden 1 en 2 zijn van toepassing op alle marktdeelnemers die diensten verlenen in de Europese Unie.

4.  Na overleg met de in kennis gestelde bevoegde autoriteit en de betrokken marktdeelnemer kan het contactpunt het publiek informeren of overheden en marktdeelnemers daartoe verplichten over afzonderlijke incidenten, wanneer zij het oordeelt dat openbaarmaking van het de algemeenheid op de hoogte moet zijn om een incident in het algemeen belang is te voorkomen of een zich voordoend incident aan te pakken, of wanneer die met een incident geconfronteerde marktdeelnemer heeft geweigerd om een ernstig, structureel kwetsbaar punt in verband met dat incident onverwijld te verhelpen.

Vóór de openbaarmaking zorgt de in kennis gestelde bevoegde autoriteit ervoor dat de betrokken marktdeelnemer de mogelijkheid heeft om gehoord te worden, en dat het besluit tot openbaarmaking gebaseerd is op een behoorlijke afweging van het algemeen belang.

Wanneer informatie over afzonderlijke incidenten openbaar wordt gemaakt, zorgt de in kennis gestelde bevoegde autoriteit of het contactpunt ervoor dat de informatie zo anoniem mogelijk wordt gemaakt.

De bevoegde autoriteit of het contactpunt verstrekt, indien dit redelijkerwijs mogelijk is, de betrokken marktdeelnemer informatie die een doeltreffende behandeling van het gemelde incident ondersteunt.

Eenmaal per jaar dient de bevoegde autoriteit het contactpunt bij het samenwerkingsnetwerk een samenvattend verslag in over de meldingen die zij het heeft ontvangen, met inbegrip van het aantal meldingen en gegevens betreffende de in lid 2 vermelde parameters voor incidenten, en de maatregelen die overeenkomstig dit lid zijn genomen. [Am. 105]

4 bis.  De lidstaten moedigen marktdeelnemers aan om incidenten waarbij hun bedrijf betrokken is, op vrijwillige basis in hun financieel verslag openbaar te maken. [Am. 106]

5.  De Commissie is bevoegd overeenkomstig artikel 18 gedelegeerde handeling vast te stellen met betrekking tot de omschrijving van de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden. [Am. 107]

6.  Onverminderd elke krachtens lid 5 vastgestelde gedelegeerde handeling kunnen De bevoegde autoriteiten of de contactpunten kunnen richtsnoeren vaststellen en, zo nodig, instructies geven met betrekking tot de omstandigheden waarin overheden en marktdeelnemers incidenten moeten melden. [Am. 108]

7.  De Commissie is bevoegd om, door middel van gedelegeerde handelingen, de formaten en procedures die gelden voor de toepassing van lid 2 vast te stellen. Die uitvoeringshandelingen worden volgens de in artikel 19, lid 3, bedoelde onderzoeksprocedure vastgesteld.

8.  De leden 1 en 2 zijn niet van toepassing op micro-ondernemingen zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie(18), tenzij de micro-onderneming optreedt als dochteronderneming van een marktdeelnemer, zoals gedefinieerd in artikel 3, lid 8, onder b). [Am. 109]

8 bis.  De lidstaten kunnen besluiten dit artikel en artikel 15 mutatis mutandis toe te passen op overheden. [Am. 110]

Artikel 15

Uitvoering en handhaving

1.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de nodige bevoegdheden hebben om niet-naleving van de krachtens artikel 14 op overheden of marktdeelnemers rustende ervoor te zorgen dat marktdeelnemers hun verplichtingen uit hoofde van artikel 14 nakomen, en de effecten daarvan op de beveiliging van netwerken en informatiesystemen te onderzoeken. [Am. 111]

2.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de bevoegdheid hebben om marktnemers en overheden ertoe te verplichten: [Am. 112]

a)  de informatie te verschaffen die nodig is om de beveiliging van hun netwerken en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging;

b)  het bewijs te leveren dat het beveiligingsbeleid daadwerkelijk wordt uitgevoerd, bijvoorbeeld door middel van de resultaten van een door een gekwalificeerde onafhankelijke instantie of nationale autoriteit uitgevoerde beveiligingsaudit te ondergaan en de resultaten daarvan het bewijs ter beschikking te stellen van de bevoegde autoriteit of het contactpunt. [Am. 113]

Bij het toezenden van dat verzoek vermelden de bevoegde autoriteiten en de contactpunten het doel van het verzoek en specificeren in voldoende mate welke informatie moet worden verstrekt. [Am. 114]

3.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten en de contactpunten de bevoegdheid hebben om de marktdeelnemers en overheden bindende instructies te geven. [Am. 115]

3 bis.  In afwijking van lid 2, onder b), van dit artikel, kunnen de lidstaten besluiten dat de bevoegde autoriteiten c.q. de contactpunten ten aanzien van bepaalde marktdeelnemers, uitgaande van hun overeenkomstig artikel 13 bis vastgestelde niveau van kriticiteit, een afwijkende procedure moeten volgen. Wanneer de lidstaten zulks besluiten:

a)  zijn de bevoegde autoriteiten c.q. de unieke contactpunten bevoegd om een voldoende specifiek verzoek in te dienen bij de marktdeelnemers op basis waarvan zij moeten aantonen dat zij het beveiligingsbeleid daadwerkelijk uitvoeren, bijvoorbeeld door middel van de resultaten van een door een gekwalificeerde interne auditor uitgevoerde beveiligingsaudit, en het bewijs ter beschikking moeten stellen van de bevoegde autoriteit of het contactpunt;

b)  kan de bevoegde autoriteit of het contactpunt zo nodig, nadat de marktdeelnemer gevolg heeft gegeven aan het onder a) bedoelde verzoek, aanvullend bewijs verlangen of een aanvullende audit laten uitvoeren door een gekwalificeerde onafhankelijke instantie of nationale autoriteit.

3 ter.  De lidstaten kunnen besluiten het aantal en de intensiteit van de audits voor een desbetreffende marktdeelnemer te verminderen wanneer uit zijn beveiligingsaudit blijkt dat hij de bepalingen van hoofdstuk IV consequent naleeft. [Am. 116]

4.  De bevoegde autoriteiten melden en de contactpunten informeren de betrokken marktdeelnemers over de mogelijkheid om de autoriteiten voor wetshandhaving incidenten te melden waarvan wordt vermoed dat zij van ernstig criminele aard zijn. [Am. 117]

5.  Onverminderd de van toepassing zijnde regelgeving inzake gegevensbescherming werken de bevoegde autoriteiten werken en de contactpunten nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben. De contactpunten en de autoriteiten voor gegevensbescherming ontwikkelen in samenwerking met Enisa mechanismen voor gegevensuitwisseling en één sjabloon dat moet worden gebruikt zowel voor meldingen op grond van artikel 14, lid 2, van deze richtlijn als voor meldingen op grond van andere Uniewetgeving inzake gegevensbescherming. [Am. 118]

6.  De lidstaten zorgen ervoor dat uit hoofde van dit hoofdstuk aan overheden en marktdeelnemers opgelegde verplichtingen aan rechterlijke toetsing kunnen worden onderworpen. [Am. 119]

6 bis.   De lidstaten kunnen besluiten artikel 14 en dit artikel mutatis mutandis toe te passen op overheden. [Am. 120]

Artikel 16

Normalisatie

1.  Met het oog op de geharmoniseerde uitvoering van artikel 14, lid 1, moedigen de lidstaten het gebruik van Europese of internationale interoperabele normen en/of specificaties voor netwerk- en informatiebeveiliging aan, zonder daarbij evenwel het gebruik van een specifieke technologie voor te schrijven. [Am. 121]

2.  De Commissie stelt, door middel van uitvoeringshandelingen, verstrekt een mandaat aan een passende Europese normalisatie-instantie om in overleg met de relevante belanghebbenden een lijst op te stellen van de in lid 1 bedoelde normen en/of specificaties. De lijst wordt bekendgemaakt in het Publicatieblad van de Europese Unie. [Am. 122]

HOOFDSTUK V

SLOTBEPALINGEN

Artikel 17

Sancties

1.  De lidstaten stellen regels vast voor sancties op overtredingen op nationale bepalingen die ingevolge deze richtlijn zijn vastgesteld, en nemen alle nodige maatregelen om ervoor te zorgen dat zij worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten stellen de Commissie uiterlijk op de omzettingsdatum van deze richtlijn van deze bepalingen in kennis en delen haar eventuele latere wijzigingen onverwijld mee.

1 bis.  De lidstaten zorgen ervoor dat de in lid 1 van dit artikel bedoelde sancties alleen worden opgelegd wanneer de marktdeelnemer bewust of wegens ernstige nalatigheid niet heeft voldaan aan zijn verplichtingen op grond van hoofdstuk IV. [Am. 123]

2.  De lidstaten zorgen ervoor dat wanneer een beveiligingsincident betrekking heeft op persoonsgegevens, de voorgeschreven sancties in overeenstemming zijn met de sancties waarin wordt voorzien in de verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(19).

Artikel 18

Uitoefening van de bevoegdheidsdelegatie

1.  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.  De bevoegdheid om de in artikel 9, lid 3, en artikel 10, lid 5, bedoelde gedelegeerde handelingen vast te stellen, wordt aan de Commissie verleend. De Commissie stelt uiterlijk negen maanden vóór het einde van de termijn van 5 jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.  Het Europees Parlement of de Raad kan de in artikel 9, lid 3, en artikel 10, lid 5, en artikel 14, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheden. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet. [Am. 124]

4.  Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

5.  Een overeenkomstig artikel 9, lid 3, en artikel 10, lid 5, en artikel 14, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement of de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen geen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad vóór het verstrijken van de termijn van twee maanden de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd. [Am. 125]

Artikel 19

Comitéprocedure

1.  De Commissie wordt bijgestaan door een comité (het comité Netwerk- en informatiebeveiliging). Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.  Wanneer naar dit lid wordt verwezen, is artikel 4 van Verordening (EU) nr. 182/2011 van toepassing.

3.  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 20

Evaluatie

De Commissie evalueert periodiek de werking van deze richtlijn, in het bijzonder de lijst in bijlage II, en brengt verslag uit aan het Europees Parlement en de Raad. Het eerste verslag wordt uiterlijk drie jaar na de in artikel 21 bedoelde omzettingsdatum ingediend. Daartoe kan de Commissie de lidstaten verzoeken onverwijld informatie te verstrekken. [Am. 126]

Artikel 21

Omzetting

1.  De lidstaten dienen uiterlijk [anderhalf jaar na de aanneming] de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die maatregelen onverwijld mede.

Zij passen deze maatregelen toe met ingang van [anderhalf jaar na de aanneming].

Wanneer de lidstaten deze maatregelen aannemen, wordt in de maatregelen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2.  De lidstaten delen de Commissie de tekst mee van de voornaamste bepalingen van intern recht die zij vaststellen op het door deze richtlijn bestreken gebied.

Artikel 22

Inwerkingtreding

Deze richtlijn treedt in werking op de [twintigste] dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 23

Geadresseerden

Deze richtlijn is gericht tot de lidstaten.

Gedaan te ,

Voor het Europees Parlement Voor de Raad

De voorzitter De voorzitter

BIJLAGE I

Voorschriften en taken voor het computercrisisteam (CERT) computercrisisteams (CERT's) [Am. 127]

De voorschriften en taken voor het CERT moeten adequaat en duidelijk worden gedefinieerd en worden ondersteund door nationale beleids- en/of regelgevingsmaatregelen. Deze dienen de volgende elementen te omvatten:

(1)  voorschriften voor het CERT:

a)  het CERT garandeert de CERT's garanderen een hoge mate van beschikbaarheid van zijn hun communicatiediensten door zwakke punten (single points of failure) te voorkomen, en kan kunnen langs diverse kanalen worden bereikt of contact opnemen. Bovendien moeten de communicatiekanalen duidelijk worden gespecificeerd en bekend zijn bij de CERT‑gebruikers (constituency) en de samenwerkingspartners. [Am. 128]

b)  het CERT zorgt voor de tenuitvoerlegging en het beheer van beveiligingsmaatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de informatie die het ontvangt en behandelt te waarborgen.

c)  de kantoren van het CERT de CERT's en de ondersteunende informatiesystemen moeten zich op beveiligde locaties bevinden die voorzien zijn van beveiligde netwerkinformatiesystemen. [Am. 129]

d)  er wordt een kwaliteitszorgsysteem ingevoerd om de prestatie van het CERT te volgen en een gestaag proces van verbetering te garanderen. Dit systeem moet zijn gebaseerd op duidelijk omschreven metrieken, zoals formele dienstniveaus en essentiële prestatie‑indicatoren;

e)  bedrijfscontinuïteit:

–  het CERT wordt, met het oog op vlotte overdrachten, uitgerust met een adequaat systeem voor het beheren en routeren van verzoeken,

–  het CERT krijgt voldoende personeel om een volcontinue beschikbaarheid te garanderen,

–  de continuïteit van de infrastructuur die het werk van het CERT ondersteunt, wordt gewaarborgd. Hiertoe wordt voorzien in redundante systemen en reservewerkruimten teneinde een permanente toegang tot de communicatiemiddelen te garanderen.

(2)  taken van het CERT:

a)  de taken van het CERT behelzen ten minste het volgende:

–  opsporen en monitoren van incidenten op nationaal niveau, [Am. 130]

–  ten bate van de betrokken belanghebbende partijen zorgen voor vroegtijdige waarschuwingen, alarmmeldingen, aankondigingen en verspreiding van informatie over risico's en incidenten,

–  reageren op incidenten,

–  zorgen voor een dynamische risico‑ en incidentanalyse en situatiekennis,

–  het publiek bewust maken van de met onlineactiviteiten verbonden risico's,

–  actief participeren in uniale en internationale CERT-samenwerkingsnetwerken, [Am. 131]

–  het organiseren van campagnes over NIB.

b)  het CERT legt op samenwerking gerichte contacten met de particuliere sector.

c)  ter bevordering van de samenwerking stimuleert het CERT de vaststelling en het gebruik van gemeenschappelijke of gestandaardiseerde praktijken op het gebied van:

–  procedures voor de behandeling van incidenten en risico's,

–  systemen voor de classificatie van incidenten, risico's en informatie,

–  indelingssystemen voor metrieken,

–  formaten voor uitwisseling van informatie over risico's, incidenten en naamconventies voor systemen.

BIJLAGE II

Lijst van marktdeelnemers

Zoals bedoeld in artikel 3, lid 8, onder a):

1.  Platforms voor elektronische handel

2.  Gateways voor internetbetalingen

3.  Sociaalnetwerksites

4.  Zoekmachines

5.  Cloudcomputingdiensten

6.  Internetwinkels die applicaties aanbieden

Zoals bedoeld in artikel 3, lid 8, onder b): [Am. 132]

1.  Energie

a)  Elektriciteit

–  elektriciteits‑ en gasleveranciers leveranciers,

–  exploitanten en aan de eindconsument leverende retailers van elektriciteits‑ en/of gasdistributiesystemen distributiesystemen,

–  exploitanten van aardgastransmissiesystemen, exploitanten van aardgasopslag en LNG‑exploitanten,

–  exploitanten van elektriciteitstransmissiesystemen,

(b)  Aardolie

–  oliepijpleidingen en olieopslag,

–  exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie, opslag en transport,

(c)  Gas

–  exploitanten die actief zijn op de elektriciteits‑ en de gasmarkt

–  leveranciers,

–  exploitanten van distributiesystemen en aan de eindconsument leverende retailers,

–  exploitanten van aardgastransmissiesystemen, exploitanten van opslagsystemen en exploitanten van LNG-systemen,

–  exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie en aardgas, opslagfaciliteiten en transmissie,

–  exploitanten die actief zijn op de gasmarkt. [Am. 133]

2.  Vervoer

–  luchtvaartmaatschappijen (voor vracht en passagiers)

–  bedrijven voor maritiem vervoer (kust‑ en zeevervoer van passagiers en vracht)

–  spoorwegbedrijven (infrastructuurbeheerders, geïntegreerde bedrijven en exploitanten van spoorvervoer)

–  luchthavens

–  havens

–  exploitanten op het gebied van verkeersbeheer en ‑controle

–  ondersteunende logistieke diensten: a) opslag , b) vrachtafhandeling en c) andere transportondersteunende activiteiten

a)  Wegvervoer

i)  exploitanten op het gebied van verkeersbeheer en -controle

ii)  ondersteunende logistieke diensten:

–  opslag

–  vrachtafhandeling

–  overige vervoerondersteunende activiteiten

b)  Spoorvervoer

i)  spoorwegbedrijven (infrastructuurbeheerders, geïntegreerde bedrijven en exploitanten van spoorvervoer),

ii)  exploitanten op het gebied van verkeersbeheer en -controle,

iii)  ondersteunende logistieke diensten:

–  opslag

–  vrachtafhandeling

–  overige vervoerondersteunende activiteiten.

c)  Luchtvervoer

i)  luchtvaartmaatschappijen (voor vracht en passagiers),

ii)  luchthavens,

iii)  exploitanten op het gebied van verkeersbeheer en -controle

iv)  ondersteunende logistieke diensten:

–  opslag van goederen

–  vrachtafhandeling

–  overige vervoerondersteunende activiteiten.

d)  Zeevervoer

i)  bedrijven voor maritiem vervoer (binnenvaart, kust- en zeevervoer van passagiers en vracht) [Am. 134]

3.  Bankwezen: kredietinstellingen in de zin van artikel 4, punt 1, van Richtlijn 2006/48/EG van het Europees Parlement en de Raad(20).

4.  Infrastructuur voor de financiële markt: beurzen gereglementeerde markten, multilaterale handelsfaciliteiten, georganiseerde handelsfaciliteiten en als centrale tegenpartij fungerende clearinginstellingen. [Am. 135]

5.  Gezondheidszorg: zorginstellingen (waaronder ziekenhuizen en privéklinieken) en andere zorgverleners.

5 bis.  Waterproductie en -voorzieningi [Am. 136]

5 ter.  Voedselvoorzieningsketen [Am. 137]

5 quater.  Internetverdeelpunten [Am. 138]

(1)PB C 271 van 19.9.2013, blz. 133.
(2) Standpunt van het Europees Parlement van 13 maart 2014.
(3)Richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronischecommunicatienetwerken en -diensten (kaderrichtlijn) (PB L 108 van 24.4.2002, blz. 33).
(4) Besluit 2011/292/EU van de Raad van 31 maart 2011 betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie (PB L 141 van 27.5.2011, blz. 17).
(5) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).
(6) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).
(7)Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
(8)Richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 204 van 21.7.1998, blz. 37).
(9)SEC(2012) 72 final.
(10)Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad (PB L 316 van 14.11.2012, blz. 12).
(11)Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(12)Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
(13) PB C 32 van 4.2.2014, blz. 19.
(14)Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PB L 345 van 23.12.2008, blz. 75).
(15) Besluit 2009/371/JBZ van de Raad van 6 april 2009 tot oprichting van de Europese politiedienst (Europol) (PB L 121 van 15.5.2009, blz. 37).
(16) Verordening (EU) nr. 611/2013 van de Commissie van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens op grond van Richtlijn 2002/58/EG van het Europees Parlement en de Raad betreffende privacy en elektronische communicatie (PB L 173 van 26.6.2013, blz. 2).
(17) Richtlijn 2004/39/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende markten voor financiële instrumenten (PB L 45 van 16.2.2005, blz. 18).
(18)Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36).
(19)SEC(2012) 72 final.
(20) Richtlijn 2006/48/EG van het Europees Parlement en de Raad van 14 juni 2006 betreffende de toegang tot en de uitoefening van de werkzaamheden van kredietinstellingen (PB L 177 van 30.6.2006, blz. 1).

Juridische mededeling - Privacybeleid