Uitvoeringsverordening (EU) 2024/2690 van de Commissie van 17 oktober 2024 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)⁽¹⁾, en met name artikel 21, lid 5, eerste alinea, en artikel 23, lid 11, tweede alinea,

Overwegende hetgeen volgt:

1. Met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten als bedoeld in artikel 3 van Richtlijn (EU) 2022/2555 (de relevante entiteiten), heeft deze verordening tot doel de technische en methodologische vereisten van de in artikel 21, lid 2, van Richtlijn (EU) 2022/2555 bedoelde maatregelen vast te stellen en de gevallen nader te specificeren waarin een incident als significant moet worden beschouwd in de zin van artikel 23, lid 3, van Richtlijn (EU) 2022/2555.

2. Rekening houdend met de grensoverschrijdende aard van hun activiteiten en met het oog op een samenhangend kader voor verleners van vertrouwensdiensten, moet in deze verordening met betrekking tot verleners van vertrouwensdiensten nader worden gespecificeerd in welke gevallen een incident als significant wordt beschouwd, naast de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s.

3. Overeenkomstig artikel 21, lid 5, derde alinea, van Richtlijn (EU) 2022/2555 zijn de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s in de bijlage bij deze verordening gebaseerd op Europese en internationale normen, zoals ISO/IEC 27001, ISO/IEC 27002 en ETSI EN 319401, en technische specificaties, zoals CEN/TS 18026:2024, die voor de beveiliging van netwerk- en informatiesystemen van belang zijn.

4. Inzake de uitvoering en toepassing van de technische en methodologische vereisten van de in de bijlage vastgestelde maatregelen voor het beheer van cyberbeveiligingsrisico’s, moet overeenkomstig het evenredigheidsbeginsel rekening worden gehouden met de uiteenlopende risicoblootstellingen van relevante entiteiten, zoals het kritieke karakter van de relevante entiteit, de risico’s waaraan zij is blootgesteld, de omvang en de structuur van de relevante entiteit, de waarschijnlijkheid van incidenten en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen ervan, bij de naleving van de technische en methodologische vereisten van maatregelen voor het beheer van cyberbeveiligingsrisico’s zoals uiteengezet in de bijlage.

5. Overeenkomstig het evenredigheidsbeginsel moeten relevante entiteiten, wanneer zij vanwege hun omvang bepaalde technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s niet kunnen uitvoeren, andere compenserende maatregelen kunnen nemen die geschikt zijn om het doel van die vereisten te verwezenlijken. Bij de vaststelling van rollen, verantwoordelijkheden en bevoegdheden voor de beveiliging van netwerk- en informatiesystemen binnen de relevante entiteit kan het voor micro-entiteiten bijvoorbeeld moeilijk zijn conflicterende taken en conflicterende verantwoordelijkheidsgebieden te scheiden. Dergelijke entiteiten moeten compenserende maatregelen kunnen overwegen, zoals gericht toezicht door het management van de entiteit of verscherpte monitoring en logging.

6. Bepaalde in de bijlage bij deze verordening opgenomen technische en methodologische vereisten moeten door de relevante entiteiten worden toegepast wanneer dit passend, indien van toepassing, of voor zover dit haalbaar is. Wanneer een relevante entiteit van oordeel is dat het voor haar niet passend, niet van toepassing of niet haalbaar is om bepaalde technische en methodologische vereisten als bedoeld in de bijlage bij deze verordening toe te passen, moet de relevante entiteit haar motivering dienaangaande op bevattelijke wijze documenteren. De nationale bevoegde autoriteiten kunnen bij de uitoefening van het toezicht rekening houden met de tijd die de relevante entiteiten nodig hebben om de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s uit te voeren.

7. Het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) of de nationale bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2555 kunnen richtsnoeren verstrekken om relevante entiteiten te ondersteunen bij de identificatie, de analyse en de beoordeling van risico’s met het oog op de uitvoering van de technische en methodologische vereisten voor de vaststelling en de instandhouding van een passend kader voor risicobeheer. Dergelijke richtsnoeren kunnen met name nationale en sectorale risicobeoordelingen omvatten, alsook risicobeoordelingen die specifiek zijn voor een bepaald type entiteit. De richtsnoeren kunnen ook instrumenten of modellen omvatten voor de ontwikkeling van een kader voor risicobeheer op het niveau van de relevante entiteiten. Kaders, richtsnoeren of andere mechanismen in de nationale wetgeving van de lidstaten en relevante Europese en internationale normen kunnen relevante entiteiten ook ondersteunen bij het aantonen van de naleving van deze verordening. Bovendien kunnen het Enisa of de nationale bevoegde autoriteiten uit hoofde van Richtlijn (EU) 2022/2555 relevante entiteiten ondersteunen bij het in kaart brengen en toepassen van passende oplossingen voor de behandeling van risico’s die in dergelijke risicobeoordelingen zijn vastgesteld. Dergelijke richtsnoeren mogen geen afbreuk doen aan de verplichting van de relevante entiteiten om de risico’s voor de beveiliging van netwerk- en informatiesystemen te bepalen en te documenteren, noch aan de verplichting van de relevante entiteiten om de technische en methodologische vereisten van de in de bijlage bij deze verordening uiteengezette maatregelen voor het beheer van cyberbeveiligingsrisico’s toe te passen overeenkomstig hun behoeften en middelen.

8. Netwerkbeveiligingsmaatregelen met betrekking tot: i) de overgang naar communicatieprotocollen voor de recentste generatie netwerklaag, ii) de invoering van internationaal overeengekomen en interoperabele moderne e-mailcommunicatienormen, en iii) de toepassing van beste praktijken op het gebied van DNS-beveiliging en van routingbeveiliging en routinghygiëne op het internet brengen specifieke uitdagingen met zich mee met betrekking tot de vaststelling van de beste beschikbare normen en implementatietechnieken. Om zo spoedig mogelijk tot een hoog gezamenlijk niveau van cyberbeveiliging in alle netwerken te komen, moet de Commissie, bijgestaan door het Enisa en in samenwerking met de bevoegde autoriteiten, het bedrijfsleven — met inbegrip van de telecommunicatie-industrie — en andere belanghebbenden, de ontwikkeling ondersteunen van een multistakeholderforum dat tot taak heeft deze beste beschikbare normen en implementatietechnieken vast te stellen. Dergelijke richtsnoeren voor meerdere belanghebbenden mogen geen afbreuk doen aan de verplichting van de relevante entiteiten om de technische en methodologische vereisten van de in de bijlage bij deze verordening uiteengezette maatregelen voor het beheer van cyberbeveiligingsrisico’s uit te voeren.

9. Overeenkomstig artikel 21, lid 2, punt a), van Richtlijn (EU) 2022/2555 moeten essentiële en belangrijke entiteiten, naast een beleid inzake risicoanalyse, een beleid inzake de beveiliging van informatiesystemen hebben. Daartoe moeten de relevante entiteiten een beleid inzake de beveiliging van netwerk- en informatiesystemen vaststellen, alsook themaspecifieke beleidsmaatregelen, zoals beleid inzake toegangscontrole, dat coherent moet zijn met het beleid inzake de beveiliging van netwerk- en informatiesystemen. Het beleid inzake de beveiliging van netwerk- en informatiesystemen moet het document op het hoogste niveau zijn waarin de algemene aanpak van de relevante entiteiten voor de beveiliging van netwerk- en informatiesystemen wordt uiteengezet, en door de bestuursorganen van de relevante entiteiten worden goedgekeurd. Het themaspecifieke beleid moet door een passend managementniveau worden goedgekeurd. In het beleid moeten indicatoren en maatregelen worden vastgesteld om de uitvoering ervan en de huidige status van het maturiteitsniveau van netwerk- en informatiebeveiliging van de relevante entiteiten te monitoren, met name om het toezicht op de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico’s via de bestuursorganen te vergemakkelijken.

10. Voor de toepassing van de in de bijlage bij deze verordening vastgestelde technische en methodologische vereisten moet de term “gebruiker” alle natuurlijke en rechtspersonen omvatten die toegang hebben tot de netwerk- en informatiesystemen van de entiteit.

11. Om de risico’s voor de veiligheid van netwerk- en informatiesystemen in kaart te brengen en aan te pakken, moeten de relevante entiteiten een passend kader voor risicobeheer vaststellen en handhaven. Als onderdeel van het kader voor risicobeheer moeten de relevante entiteiten een risicobehandelingsplan opstellen, uitvoeren en monitoren. De relevante entiteiten kunnen het risicobehandelingsplan gebruiken om opties en maatregelen voor risicobehandeling vast te stellen en te prioriteren. De opties voor risicobehandeling omvatten met name het vermijden, beperken of, in uitzonderlijke gevallen, aanvaarden van het risico. Bij de keuze van de risicobehandelingsopties moet rekening worden gehouden met de resultaten van de door de relevante entiteit uitgevoerde risicobeoordeling en moet het beleid van de relevante entiteit inzake de beveiliging van netwerk- en informatiesystemen worden nageleefd. Om uitvoering te geven aan de gekozen risicobehandelingsopties, moeten de relevante entiteiten passende risicobehandelingsmaatregelen nemen.

12. Om gebeurtenissen, bijna-incidenten en incidenten op te sporen, moeten de relevante entiteiten hun netwerk- en informatiesystemen monitoren en maatregelen nemen om gebeurtenissen, bijna-incidenten en incidenten te evalueren. Die maatregelen moeten het mogelijk maken om netwerkgebaseerde aanvallen op basis van afwijkend inkomend of uitgaand verkeer en DoS-aanvallen tijdig op te sporen.

13. Wanneer de relevante entiteiten een bedrijfsimpactanalyse uitvoeren, worden zij aangemoedigd een alomvattende analyse uit te voeren waarin, in voorkomend geval, de maximaal toelaatbare storingstijd en de doelstellingen inzake de hersteltijd, de herstelpunten en de dienstverlening worden vastgesteld.

14. Om de uit de toeleveringsketen van een relevante entiteit en haar betrekkingen met haar leveranciers voortvloeiende risico’s te beperken, moeten de relevante entiteiten een beleid inzake de beveiliging van de toeleveringsketen vaststellen dat hun betrekkingen met hun directe leveranciers en dienstverleners regelt. Deze entiteiten moeten in de contracten met hun directe leveranciers of dienstverleners passende beveiligingsclausules opnemen, bijvoorbeeld door, waar passend, maatregelen voor het beheer van cyberbeveiligingsrisico’s op te leggen overeenkomstig artikel 21, lid 2, van Richtlijn (EU) 2022/2555 of andere soortgelijke wettelijke vereisten.

15. De relevante entiteiten moeten regelmatig beveiligingstests uitvoeren op basis van een specifiek beleid en specifieke procedures om na te gaan of de maatregelen voor het beheer van cyberbeveiligingsrisico’s worden uitgevoerd en naar behoren functioneren. Er kunnen beveiligingstests worden uitgevoerd op specifieke netwerk- en informatiesystemen of op de relevante entiteit als geheel, met inbegrip van geautomatiseerde of manuele tests, penetratietests, kwetsbaarheidsscans, statische en dynamische applicatiebeveiligingstests, configuratietests of beveiligingsaudits. De relevante entiteiten kunnen beveiligingstests op hun netwerk- en informatiesystemen uitvoeren bij het opzetten, na upgrades of wijzigingen van infrastructuur of applicaties die zij belangrijk achten, of na onderhoud. De bevindingen van de beveiligingstests moeten als basis dienen voor het beleid en de procedures van de relevante entiteiten om de doeltreffendheid van de risicobeheersmaatregelen op het gebied van cyberbeveiliging te beoordelen, alsook voor onafhankelijke evaluaties van hun netwerk- en informatiebeveiligingsbeleid.

16. Om aanzienlijke verstoringen en schade als gevolg van de exploitatie van niet-gepatchte kwetsbaarheden in netwerk- en informatiesystemen te voorkomen, moeten de relevante entiteiten passende procedures voor het beheer van beveiligingspatches vaststellen en toepassen die zijn afgestemd op het wijzigingsbeheer, het kwetsbaarheidsbeheer, het risicobeheer en andere relevante procedures van de relevante entiteiten. De relevante entiteiten moeten maatregelen nemen die in verhouding staan tot hun middelen om ervoor te zorgen dat beveiligingspatches geen extra kwetsbaarheden of onstabiliteit met zich meebrengen. In geval van geplande ontoegankelijkheid van de dienst als gevolg van de toepassing van beveiligingspatches, worden de relevante entiteiten aangemoedigd de klanten vooraf naar behoren te informeren.

17. De relevante entiteiten moeten de risico’s beheren die voortvloeien uit de verwerving van ICT-producten of -diensten van leveranciers of aanbieders en moeten zekerheid verkrijgen dat de te verwerven ICT-producten of -diensten bepaalde niveaus van cyberbeveiligingsbescherming bereiken, bijvoorbeeld door middel van Europese cyberbeveiligingscertificaten en EU-conformiteitsverklaringen voor ICT-producten of -diensten die zijn afgegeven in het kader van een op grond van artikel 49 van Verordening (EU) 2019/881 van het Europees Parlement en de Raad vastgestelde Europese regeling voor cyberbeveiligingscertificering⁽²⁾. Wanneer de relevante entiteiten beveiligingsvereisten vaststellen die van toepassing zijn op de te verwerven ICT-producten, moeten zij rekening houden met de essentiële cyberbeveiligingsvereisten die zijn vastgesteld in een verordening van het Europees Parlement en de Raad betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen.

18. Om bescherming te bieden tegen cyberdreigingen en gegevensinbreuken te voorkomen en in te dammen, moeten de relevante entiteiten netwerkbeveiligingsoplossingen implementeren. Typische oplossingen voor netwerkbeveiliging omvatten het gebruik van firewalls om de interne netwerken van de relevante entiteiten te beschermen, de beperking van verbindingen en toegang tot diensten waar verbindingen en toegang absoluut nodig zijn, en het gebruik van virtuele particuliere netwerken voor toegang op afstand en het toestaan van aansluitingen van dienstverleners alleen na een verzoek om autorisatie en voor een bepaalde periode, zoals de duur van een onderhoudsactiviteit.

19. Om de netwerken van de relevante entiteiten en hun informatiesystemen te beschermen tegen kwaadwillige en niet-toegestane software, moeten die entiteiten controles uitvoeren die het gebruik van niet-toegestane software voorkomen of opsporen, en moeten zij, waar passend, software gebruiken voor opsporing en respons. De relevante entiteiten moeten ook maatregelen overwegen om het aanvalsoppervlak tot een minimum te beperken, kwetsbaarheden te verminderen die door aanvallers kunnen worden uitgebuit, de uitvoering van applicaties op eindpunten te controleren en e-mail- en webapplicatiefilters in te zetten om de blootstelling aan kwaadwillige inhoud te verminderen.

20. Op grond van artikel 21, lid 2, punt g), van Richtlijn (EU) 2022/2555 moeten de lidstaten ervoor zorgen dat essentiële en belangrijke entiteiten basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging toepassen. Basispraktijken op het gebied van cyberhygiëne kunnen zero trust-beginselen, software-updates, configuratie van apparaten, netwerksegmentatie, identiteits- en toegangsbeheer of gebruikersbewustzijn omvatten, evenals opleidingen voor het personeel en moeten het bewustzijn op het gebied van cyberdreigingen, phishing of socialengineeringtechnieken vergroten. Praktijken op het gebied van cyberhygiëne maken deel uit van verschillende technische en methodologische vereisten van de in de bijlage vastgestelde maatregelen voor het beheer van cyberbeveiligingsrisico’s. Wat basispraktijken op het gebied van cyberhygiëne voor gebruikers betreft, moeten de relevante entiteiten praktijken overwegen zoals een opgeruimd desk- en schermbeleid, het gebruik van multifactor- en andere authenticatiemiddelen, veilig e-mailgebruik en veilige webbrowsing, bescherming tegen phishing en social engineering, en beveiligde praktijken voor werken op afstand.

21. Om ongeoorloofde toegang tot de activa van de relevante entiteiten te voorkomen, moeten de relevante entiteiten een thematisch beleid vaststellen en uitvoeren dat betrekking heeft op de toegang voor personen en netwerk- en informatiesystemen, zoals toepassingen.

22. Om te voorkomen dat werknemers misbruik kunnen maken van bijvoorbeeld toegangsrechten binnen de relevante entiteit om schade te berokkenen, moeten de relevante entiteiten passende maatregelen voor personeelsbeheer overwegen en het personeel bewuster maken van dergelijke risico’s. De relevante entiteiten moeten een tuchtprocedure vaststellen, bekendmaken en handhaven voor het omgaan met schendingen van het beveiligingsbeleid van de relevante entiteiten voor netwerk- en informatiesystemen, die kan worden ingebed in andere tuchtprocedures die door de relevante entiteiten zijn vastgesteld. Verificatie van de achtergrond van de werknemers en, waar van toepassing, de directe leveranciers en dienstverleners van de relevante entiteiten, moeten bijdragen aan de doelstelling van personeelsbeveiliging in de relevante entiteiten, en kunnen maatregelen omvatten zoals controles van het strafblad van de persoon of eerdere beroepstaken, al naargelang de taken van de persoon in de relevante entiteit en in overeenstemming met het beleid van de relevante entiteit inzake de beveiliging van netwerk- en informatiesystemen.

23. Multifactorauthenticatie kan de cyberbeveiliging van de entiteiten verbeteren en moet door de entiteiten in overweging worden genomen, met name wanneer gebruikers toegang op afstand hebben tot netwerk- en informatiesystemen, of wanneer zij toegang tot gevoelige informatie of bevoorrechte accounts en systeembeheeraccounts hebben. Multifactorauthenticatie kan worden gecombineerd met andere technieken om in specifieke omstandigheden aanvullende factoren te eisen, op basis van vooraf vastgestelde regels en patronen, zoals toegang vanaf een ongebruikelijke locatie, van een ongebruikelijk apparaat of op een ongebruikelijk tijdstip.

24. De relevante entiteiten moeten de activa die voor hen waardevol zijn, beheren en beschermen door middel van een degelijk activabeheer dat ook als basis moet dienen voor de risicoanalyse en het bedrijfscontinuïteitsbeheer. De relevante entiteiten moeten zowel materiële als immateriële activa beheren en een inventaris van de activa opstellen, de activa koppelen aan een bepaald classificatieniveau, de activa behandelen en volgen, en maatregelen nemen om de activa gedurende hun hele levenscyclus te beschermen.

25. Activabeheer moet inhouden dat activa worden ingedeeld naar type, gevoeligheid, risiconiveau en beveiligingsvereisten en dat passende maatregelen en controles worden toegepast om de beschikbaarheid, de integriteit, de vertrouwelijkheid en de authenticiteit ervan te waarborgen. Door activa naar risiconiveau in te delen, moeten de relevante entiteiten passende beveiligingsmaatregelen en -controles kunnen toepassen ter bescherming van activa, zoals encryptie, toegangscontrole, met inbegrip van controle van de perimeter en fysieke en logische toegang, back-ups, logging en monitoring, bewaring en verwijdering. Bij het uitvoeren van een bedrijfsimpactanalyse kunnen de relevante entiteiten het indelingsniveau bepalen op basis van de gevolgen van de verstoring van de activa voor de entiteiten. Alle werknemers van de entiteiten die met de activa werken, moeten vertrouwd zijn met het beleid en de instructies voor de behandeling van activa.

26. De granulariteit van de inventaris van activa moet afgestemd zijn op de behoeften van de relevante entiteiten. Een uitgebreide inventaris van activa kan voor elk actief ten minste een unieke identificatiecode omvatten, alsook de eigenaar van het actief, een beschrijving van het actief, de locatie van het actief, het type actief, het type en de classificatie van de in het actief verwerkte informatie, de datum van de laatste update of patch van het actief, de classificatie van het actief volgens de risicobeoordeling en het einde van de levensduur van het actief. Bij de identificatie van de eigenaar van een actief moeten de relevante entiteiten ook de persoon identificeren die verantwoordelijk is voor de bescherming van dat actief.

27. De toewijzing en de organisatie van rollen, verantwoordelijkheden en bevoegdheden op het gebied van cyberbeveiliging moeten zorgen voor een consistente structuur voor de governance en uitvoering van cyberbeveiliging binnen de relevante entiteiten, en voor doeltreffende communicatie in geval van incidenten. Bij het vaststellen en toewijzen van verantwoordelijkheden voor bepaalde rollen moeten de relevante entiteiten rekening houden met functies zoals hoofdinformatiebeveiligingsfunctionaris, informatiebeveiligingsfunctionaris, functionaris voor incidentenbehandeling, auditor of vergelijkbare equivalenten. De relevante entiteiten kunnen taken en verantwoordelijkheden toewijzen aan externe partijen, zoals derde aanbieders van ICT-diensten.

28. Overeenkomstig artikel 21, lid 2, van Richtlijn (EU) 2022/2555 moeten de maatregelen voor het beheer van cyberbeveiligingsrisico’s gebaseerd zijn op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen gebeurtenissen die de beschikbaarheid, de authenticiteit, de integriteit of de vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via netwerk- en informatiesystemen worden aangeboden, in gevaar kunnen brengen, zoals diefstal, brand, overstromingen en telecommunicatie- en stroomstoringen of ongeoorloofde fysieke toegang tot, beschadiging van of interferentie met de informatie- en informatieverwerkingsfaciliteiten van een essentiële of belangrijke entiteit. Bij de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s moet daarom ook aandacht worden besteed aan de fysieke en omgevingsbeveiliging van netwerk- en informatiesystemen door maatregelen op te nemen om dergelijke systemen te beschermen tegen systeemstoringen, menselijke fouten, kwaadaardige handelingen of natuurverschijnselen. Andere voorbeelden van fysieke en omgevingsdreigingen zijn aardbevingen, explosies, sabotage, dreiging van binnenuit, onlusten, giftig afval en emissies in het milieu. Het voorkomen van verlies, beschadiging of compromittering van netwerk- en informatiesystemen of de onderbreking van hun werking als gevolg van het falen of de verstoring van ondersteunende nutsbedrijven moet bijdragen tot het doel van bedrijfscontinuïteit in de relevante entiteiten. Bovendien moet bescherming tegen fysieke en omgevingsdreigingen bijdragen tot de beveiliging van het onderhoud van netwerk- en informatiesystemen in de relevante entiteiten.

29. Relevante entiteiten moeten beschermingsmaatregelen tegen fysieke en omgevingsdreigingen ontwerpen en implementeren en minimum- en maximumcontroledrempels voor fysieke en omgevingsdreigingen bepalen en omgevingsparameters bewaken. Zij moeten bijvoorbeeld overwegen systemen te installeren om in een vroeg stadium te detecteren of gebieden waar netwerk- en informatiesystemen zich bevinden, overstromen. Met betrekking tot brandgevaar moeten de relevante entiteiten overwegen om een apart brandcompartiment voor het datacentrum in te richten, brandwerende materialen te gebruiken, sensoren voor het monitoren van temperatuur en vochtigheid te gebruiken, het gebouw aan te sluiten op een brandalarmsysteem met een automatische melding aan de lokale brandweer, en systemen voor vroegtijdige branddetectie en -blussing te installeren. De relevante entiteiten moeten ook regelmatige brandoefeningen en brandinspecties uitvoeren. Om de stroomvoorziening te waarborgen, moeten de relevante entiteiten bovendien overspanningsbeveiliging en de bijbehorende noodstroomvoorziening in overweging nemen, in overeenstemming met de desbetreffende normen. Aangezien oververhitting een risico vormt voor de beschikbaarheid van netwerk- en informatiesystemen, kunnen relevante entiteiten, met name aanbieders van datacentrumdiensten, bovendien passende, continue en redundante airconditioningsystemen overwegen.

30. In deze verordening wordt nader gespecificeerd in welke gevallen een incident als significant moet worden beschouwd voor de toepassing van artikel 23, lid 3, van Richtlijn (EU) 2022/2555. De criteria moeten de relevante entiteiten in staat stellen om te beoordelen of een incident significant is, teneinde het incident overeenkomstig Richtlijn (EU) 2022/2555 te melden. Voorts moeten de in deze verordening vastgestelde criteria als uitputtend worden beschouwd, onverminderd artikel 5 van Richtlijn (EU) 2022/2555. Deze verordening specificeert de gevallen waarin een incident als significant moet worden beschouwd door zowel horizontale als entiteitsspecifieke gevallen vast te stellen.

31. Overeenkomstig artikel 23, lid 4, van Richtlijn (EU) 2022/2555 moeten de relevante entiteiten significante incidenten melden binnen de in die bepaling vastgestelde termijnen. Deze meldingstermijnen gaan in op het moment dat de entiteit kennis heeft gekregen van dergelijke significante incidenten. De relevante entiteit is daarom verplicht om incidenten te melden die, op basis van haar eerste beoordeling, ernstige operationele verstoring van de diensten of financieel verlies voor die entiteit zouden kunnen veroorzaken of andere natuurlijke of rechtspersonen zouden kunnen treffen door aanzienlijke materiële of immateriële schade te veroorzaken. Wanneer een relevante entiteit een verdachte gebeurtenis heeft gedetecteerd, of nadat een mogelijk incident onder haar aandacht is gebracht door een derde partij, zoals een individu, een klant, een entiteit, een autoriteit, een mediaorganisatie of een andere bron, moet de relevante entiteit daarom tijdig de verdachte gebeurtenis beoordelen om te bepalen of het een incident is en, zo ja, de aard en ernst ervan bepalen. De relevante entiteit moet daarom worden geacht “op de hoogte” te zijn van het significante incident wanneer die entiteit, na een dergelijke eerste beoordeling, een redelijke mate van zekerheid heeft dat zich een significant incident heeft voorgedaan.

32. Om vast te stellen of een incident significant is, moeten relevante entiteiten in voorkomend geval het aantal door het incident getroffen gebruikers tellen, rekening houdend met zakelijke en eindklanten waarmee de relevante entiteiten een contractuele relatie hebben en met natuurlijke en rechtspersonen die banden hebben met zakelijke klanten. Wanneer een relevante entiteit niet in staat is het aantal getroffen gebruikers te berekenen, moet bij de berekening van het totale aantal door het incident getroffen gebruikers rekening worden gehouden met de schatting van de relevante entiteit van het mogelijke maximale aantal getroffen gebruikers. Het belang van een incident waarbij een vertrouwensdienst betrokken is, moet niet alleen worden bepaald door het aantal gebruikers, maar ook door het aantal vertrouwende partijen, aangezien deze in gelijke mate kunnen worden getroffen door een significant incident waarbij een vertrouwensdienst betrokken is met betrekking tot operationele verstoringen en materiële of immateriële schade. Daarom moeten verleners van vertrouwensdiensten, indien van toepassing, ook rekening houden met het aantal vertrouwende partijen wanneer zij vaststellen of een incident significant is. Daartoe moeten vertrouwende partijen worden opgevat als natuurlijke of rechtspersonen die een beroep doen op een vertrouwensdienst.

33. Onderhoudswerkzaamheden die leiden tot beperkte beschikbaarheid of niet-beschikbaarheid van de diensten mogen niet als significante incidenten worden beschouwd indien de beperkte beschikbaarheid of niet-beschikbaarheid van de dienst plaatsvindt volgens een geplande onderhoudsactiviteit. Wanneer een dienst niet beschikbaar is als gevolg van geplande onderbrekingen, zoals onderbrekingen of niet-beschikbaarheid op basis van een vooraf bepaalde contractuele overeenkomst, mag dit ook niet als een significant incident worden beschouwd.

34. De duur van een incident dat van invloed is op de beschikbaarheid van een dienst, moet worden gemeten vanaf de verstoring van de juiste verlening van die dienst tot het moment van herstel. Wanneer een relevante entiteit niet in staat is het tijdstip te bepalen waarop de verstoring begon, moet de duur van het incident worden gemeten vanaf het moment waarop het incident werd ontdekt of vanaf het moment waarop het incident werd geregistreerd in netwerk- of systeemlogbestanden of andere gegevensbronnen, indien dat eerder is.

35. De volledige onbeschikbaarheid van een dienst moet worden gemeten vanaf het moment waarop de dienst volledig onbeschikbaar is voor gebruikers tot het moment waarop de reguliere werking of activiteiten zijn hersteld tot het serviceniveau dat vóór het incident werd verleend. Wanneer een relevante entiteit niet in staat is te bepalen wanneer de volledige niet-beschikbaarheid van een dienst begon, moet de niet-beschikbaarheid worden gemeten vanaf het moment dat dit door die entiteit werd gedetecteerd.

36. Om de directe financiële verliezen als gevolg van een incident te bepalen, moeten de relevante entiteiten rekening houden met alle financiële verliezen die zij als gevolg van het incident hebben geleden, zoals kosten voor de vervanging of verplaatsing van software, hardware of infrastructuur, personeelskosten, met inbegrip van kosten in verband met de vervanging of verplaatsing van personeel, de aanwerving van extra personeel, de vergoeding van overuren en het herstel van verloren of beperkte vaardigheden, vergoedingen wegens niet-naleving van contractuele verplichtingen, kosten voor schadeloosstelling en compensatie van klanten, verliezen als gevolg van gederfde inkomsten, kosten in verband met interne en externe communicatie, advieskosten, met inbegrip van kosten in verband met juridisch advies, forensische diensten en hersteldiensten, en andere kosten in verband met het incident. Administratieve geldboeten, evenals kosten die nodig zijn voor de dagelijkse bedrijfsvoering van het bedrijf, mogen echter niet worden beschouwd als financiële verliezen als gevolg van een incident, met inbegrip van kosten voor algemeen onderhoud van infrastructuur, uitrusting, hardware en software, het actueel houden van de vaardigheden van het personeel, interne of externe kosten om het bedrijf na het incident te verbeteren, met inbegrip van upgrades, verbeterings- en risicobeoordelingsinitiatieven, en verzekeringspremies. De relevante entiteiten moeten de bedragen van de financiële verliezen berekenen op basis van de beschikbare gegevens en wanneer de werkelijke bedragen van de financiële verliezen niet kunnen worden bepaald, moeten de entiteiten die bedragen ramen.

37. De relevante entiteiten moeten ook worden verplicht incidenten te melden die de dood van natuurlijke personen of aanzienlijke schade aan de gezondheid van natuurlijke personen hebben veroorzaakt of kunnen veroorzaken, aangezien dergelijke incidenten bijzonder ernstige gevallen van aanzienlijke materiële of immateriële schade zijn. Een incident dat een relevante entiteit treft, kan bijvoorbeeld de onbeschikbaarheid van gezondheidszorg of nooddiensten veroorzaken, of het verlies van de vertrouwelijkheid of integriteit van gegevens met gevolgen voor de gezondheid van natuurlijke personen. Om te bepalen of een incident aanzienlijke schade aan de gezondheid van een natuurlijke persoon heeft veroorzaakt of kan veroorzaken, moeten de relevante entiteiten rekening houden met de vraag of het incident ernstige verwondingen en gezondheidsproblemen heeft veroorzaakt of kan veroorzaken. Daartoe mag van de betrokken entiteiten niet worden verlangd dat zij aanvullende informatie verzamelen waartoe zij geen toegang hebben.

38. Beperkte beschikbaarheid moet met name worden geacht plaats te vinden wanneer een door een relevante entiteit verleende dienst aanzienlijk trager is dan de gemiddelde responstijd, of wanneer niet alle functies van een dienst beschikbaar zijn. Waar mogelijk moeten objectieve criteria op basis van de gemiddelde responstijden van de door de relevante entiteiten verleende diensten worden gebruikt om vertragingen in de responstijd te beoordelen. Een functionaliteit van een dienst kan bijvoorbeeld een chatfunctie of een zoekfunctie voor afbeeldingen zijn.

39. Succesvolle, vermoedelijk kwaadwillige en ongeoorloofde toegang tot de netwerk- en informatiesystemen van een relevante entiteit moet worden beschouwd als een significant incident, wanneer een dergelijke toegang ernstige operationele verstoringen kan veroorzaken. Wanneer een actor van cyberdreiging zich bijvoorbeeld vooraf in de netwerk- en informatiesystemen van een relevante entiteit positioneert met de bedoeling om in de toekomst een verstoring van de dienstverlening te veroorzaken, moet het incident als significant worden beschouwd.

40. Terugkerende incidenten die verband houden met dezelfde kennelijk onderliggende oorzaak, die afzonderlijk niet aan de criteria van een significant incident voldoen, moeten gezamenlijk worden beschouwd als een significant incident, op voorwaarde dat zij gezamenlijk aan het criterium voor financieel verlies voldoen en dat zij zich binnen zes maanden ten minste twee keer hebben voorgedaan. Dergelijke terugkerende incidenten kunnen wijzen op aanzienlijke tekortkomingen en zwakke punten in de risicobeheerprocedures voor cyberbeveiliging van de relevante entiteit en haar maturiteitsniveau op het gebied van cyberbeveiliging. Bovendien kunnen dergelijke terugkerende incidenten aanzienlijke financiële verliezen veroorzaken voor de relevante entiteit.

41. De Commissie heeft advies uitgewisseld en samengewerkt met de samenwerkingsgroep en het Enisa rond de ontwerpuitvoeringshandeling, overeenkomstig artikel 21, lid 5, en artikel 23, lid 11, van Richtlijn (EU) 2022/2555.

42. De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad⁽³⁾ geraadpleegd en heeft op 1 september 2024 een advies uitgebracht.

43. De in deze verordening vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 39 van Richtlijn (EU) 2022/2555 ingestelde comité,

HEEFT DE VOLGENDE VERORDENING VASTGESTELD: