Toelichting bij COM(2020)829 - Veerkracht van kritieke entiteiten - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2020)829 - Veerkracht van kritieke entiteiten. |
---|---|
bron | COM(2020)829 |
datum | 16-12-2020 |
·
Motivering en doel van het voorstel
Om Europeanen doeltreffend te beschermen, moet de Europese Unie kwetsbare punten blijven aanpakken, ook met betrekking tot de kritieke infrastructuur, die van essentieel belang is voor de werking van onze samenlevingen en van onze economie. De bestaanszekerheid van Europese burgers en de goede werking van de interne markt zijn afhankelijk van verschillende infrastructuren voor de betrouwbare verlening van diensten die nodig zijn om kritieke maatschappelijke en economische activiteiten in stand te houden. Deze diensten, die onder normale omstandigheden al cruciaal zijn, zijn des te belangrijker nu Europa kampt met de gevolgen van de COVID-19-pandemie en zich daarvan tracht te herstellen. De entiteiten die essentiële diensten verlenen, moeten dus veerkrachtig zijn, dat wil zeggen: in staat om, bij incidenten die tot ernstige, mogelijk intersectorale en grensoverschrijdende verstoringen kunnen leiden, deze te weerstaan, op te vangen, zich eraan aan te passen en daarvan te herstellen.
Dit voorstel heeft tot doel binnen de interne markt de verlening van diensten die voor het behoud van vitale maatschappelijke functies of economische activiteiten van essentieel belang zijn, te verbeteren door de veerkracht van de kritieke entiteiten die dergelijke diensten verlenen, te vergroten. Het sluit aan bij de recente oproep tot actie van de Raad 1 en het Europees Parlement 2 , die de Commissie beide hebben gestimuleerd om de huidige aanpak te herzien en meer in overeenstemming te brengen met de grotere opgaven waarvoor de kritieke entiteiten staan, en te zorgen voor betere afstemming op de richtlijn beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) 3 . Dit voorstel is consistent met de voorgestelde richtlijn inzake maatregelen voor een hoog gemeenschappelijk cyberbeveiligingsniveau in de Unie (hierna “de NIS 2-richtlijn genoemd”), die de NIS-richtlijn zal vervangen om aan de toegenomen onderlinge verwevenheid van de fysieke en de digitale wereld recht te doen door middel van een wetgevingskader met robuuste veerkrachtmaatregelen, zowel wat betreft fysieke als cyberaspecten, overeenkomstig de EU-strategie voor de veiligheidsunie 4 .
Het voorstel weerspiegelt ook het feit dat een toenemend aantal lidstaten kiest voor een nationale benadering waarbij de nadruk wordt gelegd op intersectorale en grensoverschrijdende onderlinge afhankelijkheden en steeds meer aandacht wordt geschonken aan veerkracht. Van die aanpak is bescherming slechts één element, naast risicopreventie en -beperking, bedrijfscontinuïteit en herstel. Aangezien kritieke infrastructuren ook potentiële terroristische doelwitten kunnen zijn, dragen de in dit voorstel vervatte maatregelen om de veerkracht van kritieke entiteiten te waarborgen ook bij tot de verwezenlijking van de doelstellingen van de onlangs vastgestelde EU-agenda voor terrorismebestrijding 5 .
De Europese Unie onderkent al heel lang het pan-Europese belang van kritieke infrastructuren. Zo heeft de EU in 2006 het Europees programma voor de bescherming van kritieke infrastructuur (EPCIP) 6 opgezet en in 2008 de richtlijn betreffende Europese kritieke infrastructuur 7 vastgesteld. Die richtlijn betreffende Europese kritieke infrastructuur (European Critical Infrastructure, ECI), die alleen van toepassing is op de sectoren energie en vervoer, voorziet in een procedure voor het identificeren en als kritiek aanmerken van Europese infrastructuren waarvan de ontwrichting of vernietiging voor ten minste twee lidstaten aanzienlijke grensoverschrijdende gevolgen zou hebben. Ook zijn in de richtlijn specifieke beschermingsvereisten opgenomen voor de exploitanten van ECI’s en de bevoegde autoriteiten van de lidstaten. Tot op heden zijn 94 infrastructuren als ECI’s aangemerkt, waarvan twee derde zich in drie lidstaten in Midden- en Oost-Europa bevindt. Het optreden van de EU inzake de veerkracht van kritieke infrastructuur reikt echter verder; het omvat ook sectorale en intersectorale maatregelen inzake onder meer klimaatbestendigheid, civiele bescherming, buitenlandse directe investeringen en cyberbeveiliging 8 . De lidstaten hebben inmiddels zelf ook maatregelen op dit gebied genomen en zij zijn daarbij op verschillende manieren te werk gegaan.
Het is dan ook duidelijk dat het huidige kader voor de bescherming van kritieke infrastructuur niet volstaat om het hoofd te bieden aan de uitdagingen waarvoor de kritieke infrastructuren en de entiteiten die deze exploiteren thans worden gesteld. Gezien de toenemende onderlinge verwevenheid van de infrastructuren, netwerken en exploitanten die overal op de interne markt essentiële diensten leveren, is een fundamentele omslag nodig: de huidige aanpak, waarbij specifieke infrastructuur wordt beschermd, moet plaatsmaken voor het versterken van de veerkracht van de kritieke entiteiten die een dergelijke infrastructuur exploiteren.
De operationele omgeving waarin kritieke entiteiten opereren, is de laatste jaren aanzienlijk veranderd. Ten eerste is het risicobeeld complexer dan in 2008: er is thans sprake van natuurrampengevaar 9 (dikwijls verergerd door klimaatverandering), van staatswege gesteunde hybride acties, terrorisme, dreiging van binnenuit, pandemieën en ongevallen (zoals industriële ongevallen). Ten tweede krijgen exploitanten te maken met uitdagingen bij de operationele integratie van nieuwe technologieën, zoals 5G en onbemande voertuigen, en treffen zij tegelijkertijd maatregelen in verband met de kwetsbaarheden die dergelijke technologieën zouden kunnen veroorzaken. Ten derde worden exploitanten door deze technologieën en andere trends steeds afhankelijker van elkaar. De gevolgen hiervan zijn duidelijk: een verstoring van de dienstverlening van een exploitant in één sector kan cascade-effecten veroorzaken voor de dienstverlening in andere sectoren, en mogelijk ook in andere lidstaten of de hele Unie.
Zoals is gebleken uit de in 2019 verrichte evaluatie van de ECI-richtlijn 10 , kunnen de Europese en nationale maatregelen exploitanten slechts in beperkte mate helpen de huidige operationele problemen op te lossen en de kwetsbaarheden te ondervangen waarmee hun onderlinge afhankelijkheid gepaard gaat.
Dit heeft meerdere oorzaken, zoals is uiteengezet in de effectbeoordeling die de ontwikkeling van het voorstel ondersteunde. Ten eerste onderkennen of begrijpen exploitanten de implicaties van het dynamische risicolandschap waarin zij opereren niet volledig. Ten tweede zijn er aanzienlijke verschillen wat betreft de inspanningen die lidstaten en sectoren op het gebied van veerkracht leveren. Ten derde worden vergelijkbare soorten entiteiten door sommige lidstaten wel en door andere niet als kritiek aangemerkt, waardoor zij, afhankelijk van de plaats van hun activiteiten in de Unie, meer of minder overheidssteun voor capaciteitsopbouw (in de vorm van bv. begeleiding, opleiding en organisatie van oefeningen) ontvangen en aan verschillende vereisten moeten voldoen. Het feit dat de vereisten en overheidssteun voor exploitanten per lidstaat verschillen, creëert belemmeringen voor exploitanten die grensoverschrijdend actief zijn. Dat geldt met name voor kritieke entiteiten die opereren in lidstaten met strengere regelgeving. Aangezien de dienstverlening en de dienstensectoren in de lidstaten en binnen de EU steeds nauwer met elkaar verweven zijn, houdt een ontoereikende veerkracht van één exploitant een ernstig risico in voor entiteiten elders op de interne markt.
Verstoringen brengen niet alleen de goede werking van de interne markt in gevaar. Zeker als zij tot grensoverschrijdende en mogelijk pan-Europese gevolgen leiden, kunnen zij ook ernstige negatieve consequenties hebben voor burgers, bedrijven, overheden en het milieu. Zo kunnen verstoringen op individueel niveau gevolgen hebben voor de mate waarin Europeanen vrij kunnen reizen, kunnen werken en gebruik kunnen maken van essentiële openbare diensten zoals gezondheidszorg. Openbare en andere kerndiensten die van fundamenteel belang zijn voor het dagelijks leven, worden vaak verleend door middel van nauw met elkaar verbonden netwerken van Europese bedrijven; een verstoring van één bedrijf in één sector kan dan ook cascade-effecten hebben in tal van andere economische sectoren. Ten slotte kunnen verstoringen zoals grootschalige stroomonderbrekingen of ernstige verkeersongevallen hun weerslag hebben op het gebied van beveiliging en openbare veiligheid. In dat geval ontstaat onzekerheid en wordt het vertrouwen ondermijnd in de kritieke entiteiten en in de autoriteiten die verantwoordelijk zijn voor het toezicht op die entiteiten en voor de veiligheid van de bevolking.
·Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Dit voorstel weerspiegelt de prioriteiten die de Commissie heeft geformuleerd in haar EU-strategie voor de veiligheidsunie 11 . Daarin wordt ervoor gepleit de veerkracht van kritieke infrastructuur anders te benaderen, nl. op een wijze die beter aansluit bij het huidige risicolandschap én dat van de toekomst, bij de steeds nauwere onderlinge afhankelijkheid van verschillende sectoren en bij de steeds hechtere wisselwerking tussen fysieke en digitale infrastructuren.
De voorgestelde richtlijn vervangt de ECI-richtlijn en daarbij wordt rekening gehouden met en voortgebouwd op andere bestaande en beoogde instrumenten. De voorgestelde richtlijn houdt een aanzienlijke verandering in ten opzichte van de ECI-richtlijn, die alleen voor de sectoren energie en vervoer geldt, uitsluitend op beschermende maatregelen gericht is en voorziet in een procedure voor het identificeren en als zodanig aanmerken van ECI’s door middel van grensoverschrijdende dialoog. Ten eerste heeft de voorgestelde richtlijn een veel ruimer sectoraal toepassingsgebied, dat tien sectoren omvat: energie, vervoer, bankwezen, financiële markt, volksgezondheid, drinkwater, afvalwater, digitale dienstverlening, openbaar bestuur en ruimtevaart. Ten tweede voorziet de richtlijn in een procedure die lidstaten kunnen gebruiken om kritieke entiteiten te identificeren op basis van gemeenschappelijke criteria en een nationale risicobeoordeling. Ten derde houdt het voorstel verplichtingen in voor de lidstaten en de door de lidstaten geïdentificeerde kritieke entiteiten, met inbegrip van de entiteiten die van bijzonder Europees belang zijn, d.w.z. kritieke entiteiten die essentiële diensten aan dan wel in meer dan een derde van de lidstaten verlenen en onder specifiek toezicht zullen staan.
Indien nodig zal de Commissie de bevoegde autoriteiten en kritieke entiteiten ondersteuning bieden bij de naleving van hun verplichtingen uit hoofde van de richtlijn. Voorts zal de Groep voor de veerkracht van kritieke entiteiten, die als deskundigengroep van de Commissie onderworpen is aan het horizontale kader voor zulke groepen, de Commissie adviseren en ijveren voor strategische samenwerking en de uitwisseling van informatie. Ten slotte is ook overleg met partnerlanden geboden, omdat onderlinge afhankelijkheid niet ophoudt aan de buitengrenzen van de EU. De voorgestelde richtlijn maakt dergelijke samenwerking mogelijk, bijvoorbeeld op het gebied van risicobeoordelingen.
Verenigbaarheid met andere beleidsterreinen van de Unie
De voorgestelde richtlijn sluit duidelijk aan bij, en is verenigbaar met, andere sectorale en intersectorale EU-initiatieven op het gebied van bijvoorbeeld klimaatbestendigheid, civiele bescherming, buitenlandse directe investeringen, cyberbeveiliging en het acquis op het gebied van financiële diensten. Het voorstel is met name zorgvuldig afgestemd op de voorgestelde NIS 2-richtlijn en brengt daarmee nauwe synergieën tot stand. Voornoemde richtlijn heeft ten doel in een groot aantal sectoren bij essentiële entiteiten en belangrijke entiteiten die boven bepaalde drempelwaarden komen, de informatie- en communicatietechnologie (ICT) inzake alle risico’s veerkrachtiger te maken. Dit voorstel voor een richtlijn betreffende de veerkracht van kritieke entiteiten beoogt te waarborgen dat bevoegde autoriteiten die uit hoofde van deze richtlijn respectievelijk de voorgestelde NIS 2-richtlijn zijn aangewezen, zo nodig aanvullende maatregelen nemen en informatie uitwisselen over cyber- en niet-cyberveerkracht, en dat in de op grond van de voorgestelde NIS 2-richtlijn als essentieel beschouwde sectoren bijzonder kritieke entiteiten ook worden onderworpen aan meer algemene veerkracht bevorderende verplichtingen om niet-cyberrisico’s aan te pakken. De fysieke beveiliging van netwerk- en informatiesystemen van entiteiten in de digitale-infrastructuursector wordt in de voorgestelde NIS 2-richtlijn breed benaderd in het kader van de verplichtingen die deze entiteiten hebben inzake risicobeheer en -rapportage met betrekking tot cyberbeveiliging. Verder bouwt het voorstel voort op het bestaande acquis inzake financiële diensten, dat financiële entiteiten brede verplichtingen oplegt om operationele risico’s te beheren en de bedrijfscontinuïteit te waarborgen. Entiteiten die deel uitmaken van de digitale, bancaire en financiële infrastructuren moeten wat betreft de verplichtingen en activiteiten van de lidstaten uit hoofde van deze richtlijn dan ook worden behandeld als entiteiten die gelijkwaardig zijn aan kritieke entiteiten, ofschoon deze richtlijn voor die entiteiten zelf geen aanvullende verplichtingen inhoudt.
Het voorstel houdt ook rekening met andere sectorale en intersectorale initiatieven op het gebied van bv. civiele bescherming, rampenrisicovermindering en aanpassing aan de klimaatverandering. Voorts wordt in het voorstel onderkend dat de bestaande EU-wetgeving entiteiten in sommige gevallen verplicht om beschermende maatregelen te nemen in verband met bepaalde risico’s. In dergelijke gevallen moeten de kritieke entiteiten die maatregelen, bv. op het gebied van maritieme of luchtvaartbeveiliging, in hun plannen inzake veerkracht beschrijven. Overigens doet de voorgestelde richtlijn geen afbreuk aan de toepassing van de mededingingsregels als vervat in het Verdrag betreffende de werking van de Europese Unie (VWEU).
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
·
Rechtsgrondslag
Anders dan Richtlijn 2008/114/EG, die gebaseerd was op artikel 308 van het Verdrag tot oprichting van de Europese Gemeenschap (dat overeenkomt met het huidige artikel 352 van het Verdrag betreffende de werking van de Europese Unie), berust dit voorstel voor een richtlijn op artikel 114 VWEU, dat betrekking heeft op de harmonisatie van wetgeving ter verbetering van de interne markt. De reden hiervoor is dat doel, toepassingsgebied en inhoud van deze richtlijn anders zijn, de onderlinge afhankelijkheden zijn toegenomen en er een gelijker speelveld voor kritieke entiteiten tot stand moet worden gebracht. Het doel is niet een beperkt aantal fysieke infrastructuren te beschermen waarvan de ontwrichting of vernietiging aanzienlijke grensoverschrijdende gevolgen zou hebben, maar de veerkracht van juist die entiteiten in de lidstaten te versterken welke van kritiek belang zijn voor het verlenen van diensten die, in een aantal sectoren die de werking van vele andere economische sectoren van de Unie schragen, essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten in de interne markt. Doordat in die sectoren de grensoverschrijdende onderlinge afhankelijkheid van de via kritieke infrastructuur verleende diensten is toegenomen, kan een verstoring in één lidstaat gevolgen hebben voor andere lidstaten of de Unie als geheel.
Het huidige rechtskader voor de betrokken diensten, dat op het niveau van de lidstaten is opgezet, gaat gepaard met sterk uiteenlopende verplichtingen en die ontwikkeling zal waarschijnlijk nog sterker worden. Dat de nationale voorschriften waaraan kritieke entiteiten moeten voldoen, onderling verschillen, doet niet alleen afbreuk aan de betrouwbaarheid van de dienstverlening op de interne markt, maar kan ook negatieve gevolgen hebben voor de mededinging. Dit is voornamelijk te wijten aan het feit dat vergelijkbare entiteiten die vergelijkbare diensten verlenen in sommige lidstaten wel als kritiek gelden, maar in andere niet. Het betekent dat entiteiten die actief zijn of willen zijn in meer dan één lidstaat, aan uiteenlopende verplichtingen moeten voldoen en dat entiteiten die actief zijn in lidstaten met strengere vereisten, kunnen stuiten op belemmeringen waarmee entiteiten in lidstaten met soepeler kaders niet te maken hebben. Deze verschillen zijn van dien aard dat zij een rechtstreeks negatief effect hebben op de werking van de interne markt.
·
Subsidiariteit
Gezien de onderlinge afhankelijkheid en de grensoverschrijdende aard van de verbanden tussen kritieke infrastructuren en de essentiële diensten die daarmee worden verleend, is een gemeenschappelijk wetgevingskader op Europees niveau op dit gebied gerechtvaardigd. Een exploitant die in één lidstaat is gevestigd, kan door middel van hechte netwerken namelijk diensten verlenen in verschillende andere lidstaten of in de hele EU. Als deze exploitant door een verstoring wordt getroffen, zou dat dus vérstrekkende gevolgen kunnen hebben, ook voor andere sectoren en in andere landen. Omdat verstoringen pan-Europese gevolgen kunnen hebben, is optreden op EU-niveau geboden. Bovendien hebben verschillen tussen nationale voorschriften een rechtstreeks negatief effect op de werking van de interne markt. Zoals de effectbeoordeling heeft uitgewezen, achten vele lidstaten en belanghebbenden uit de sector een meer gemeenschappelijke en gecoördineerde Europese aanpak nodig. Deze aanpak zou ervoor moeten zorgen dat entiteiten over voldoende veerkracht beschikken in het licht van uiteenlopende risico’s die weliswaar enigszins per lidstaat verschillen, maar tot tal van gemeenschappelijke problemen leiden die niet met louter nationale maatregelen of door individuele exploitanten alleen kunnen worden opgelost.
·
Evenredigheid
Het voorstel staat in verhouding tot de aangegeven overkoepelende doelstelling van het initiatief. Hoewel de verplichtingen voor de lidstaten en kritieke entiteiten in bepaalde gevallen enige aanvullende administratieve lasten kunnen meebrengen, bv. omdat lidstaten een nationale strategie moeten ontwikkelen of kritieke entiteiten bepaalde technische en organisatorische maatregelen moeten uitvoeren, zullen deze naar verwachting over het algemeen beperkt van aard zijn. Daarbij komt dat veel entiteiten reeds een aantal veiligheidsmaatregelen hebben genomen om hun infrastructuren te beschermen en de bedrijfscontinuïteit te waarborgen.
In sommige gevallen kan naleving van de richtlijn echter meer substantiële investeringen vereisen. Ook in die gevallen zijn deze investeringen echter gerechtvaardigd, voor zover zij zowel de veerkracht van de exploitanten en de systemen versterken als de mogelijkheid bevorderen om in de hele Unie op coherente wijze te zorgen voor betrouwbare dienstverlening. Bovendien zullen de aanvullende lasten die het gevolg zijn van deze richtlijn naar verwachting in het niet vallen bij de kosten van het beheren en herstellen van grote verstoringen die een gevaar vormen voor de ononderbroken verlening van diensten die verband houden met vitale maatschappelijke functies en het economisch welzijn van exploitanten, afzonderlijke lidstaten, de Unie en haar burgers.
·
Keuze van het instrument
Het voorstel heeft de vorm van een richtlijn die moet zorgen voor een meer gemeenschappelijke aanpak van de veerkracht van kritieke entiteiten in een aantal sectoren in de Unie. Het voorstel voorziet in specifieke verplichtingen voor de bevoegde autoriteiten om kritieke entiteiten te identificeren op grond van gemeenschappelijke criteria en de resultaten van de risicobeoordeling. Met een richtlijn kan worden gewaarborgd dat de lidstaten bij het identificeren van kritieke entiteiten op dezelfde manier te werk gaan en kan tegelijkertijd rekening worden gehouden met de specifieke kenmerken op nationaal niveau, zoals uiteenlopende niveaus van risicoblootstelling en onderlinge afhankelijkheid van intersectorale en grensoverschrijdende aard.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
·Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
De richtlijn betreffende Europese kritieke infrastructuur (ECI) is in 2019 geëvalueerd om de uitvoering ervan te beoordelen uit het oogpunt van relevantie, coherentie, doeltreffendheid, doelmatigheid, EU-meerwaarde en duurzaamheid 12 .
De evaluatie wees uit dat de context sinds de inwerkingtreding van de richtlijn aanzienlijk is veranderd. Gezien deze veranderingen werd geconstateerd dat de richtlijn nog maar ten dele relevant is. Hoewel uit de evaluatie bleek dat de richtlijn over het algemeen in overeenstemming was met de relevante Europese sectorale wetgeving en het relevante beleid op internationaal niveau, werd hij wegens de algemeenheid van een aantal van de bepalingen ervan slechts ten dele doeltreffend geacht. Vastgesteld werd dat de richtlijn EU-meerwaarde had gegenereerd in de zin dat er resultaten mee waren bereikt (nl. een gemeenschappelijk kader voor de bescherming van ECI’s) die in het kader van nationale of andere Europese initiatieven alleen hadden kunnen worden verwezenlijkt via veel langere, duurdere en minder welomschreven processen. Niettemin bleek een aantal bepalingen voor veel lidstaten beperkte meerwaarde te hebben gehad.
Wat duurzaamheid betreft, zouden bepaalde resultaten van de richtlijn (bv. grensoverschrijdende besprekingen, rapportagevereisten) naar verwachting wegvallen, mocht de richtlijn worden ingetrokken en niet worden vervangen. Volgens de evaluatie zijn de lidstaten er nog steeds voorstander van dat de EU bijdraagt tot de inspanningen om de veerkracht van kritieke infrastructuur te versterken en bestaat er enige vrees dat als de richtlijn zonder meer wordt ingetrokken, zulks negatieve gevolgen zou kunnen hebben op dit gebied en met name voor de bescherming van als ECI aangemerkte infrastructuur. De lidstaten wilden graag waarborgen dat de Unie bij haar optreden ter zake het beginsel van subsidiariteit in acht blijft nemen, maatregelen op nationaal niveau ondersteunt en grensoverschrijdende samenwerking – ook met derde landen – bevordert.
·
Raadpleging van belanghebbenden
Bij de ontwikkeling van dit voorstel heeft de Commissie allerlei belanghebbenden geraadpleegd, waaronder: instellingen en agentschappen van de Europese Unie, internationale organisaties, autoriteiten in de lidstaten, particuliere entiteiten, waaronder individuele exploitanten en nationale en Europese brancheorganisaties van exploitanten uit tal van verschillende sectoren, deskundigen en deskundigennetwerken, waaronder het Europees referentienetwerk voor de bescherming van kritieke infrastructuur (ERNCIP), leden van de academische wereld, niet-gouvernementele organisaties, en leden van het publiek.
De belanghebbenden zijn geraadpleegd op verschillende manieren, waaronder: een openbare gelegenheid om feedback te geven over de aanvangseffectbeoordeling voor dit voorstel, raadplegingsseminars, gerichte vragenlijsten, bilateraal overleg, en een openbare raadpleging (ter ondersteuning van de evaluatie van 2019 van de ECI-richtlijn). Bovendien heeft de externe contractant die in het kader van de ontwikkeling van de effectbeoordeling belast was met de haalbaarheidsstudie, tal van belanghebbenden geraadpleegd door middel van bv. een online-enquête, een schriftelijke vragenlijst, één-op-ééngesprekken en virtuele plaatsbezoeken in tien lidstaten.
Dankzij deze raadplegingen heeft de Commissie de doeltreffendheid, doelmatigheid, relevantie, coherentie en EU-meerwaarde van het huidige kader voor de veerkracht van kritieke infrastructuur (d.w.z. de uitgangssituatie) kunnen onderzoeken en kunnen nagaan welke problemen dit kader heeft veroorzaakt, welke beleidsopties zouden kunnen worden overwogen om deze problemen op te lossen, en welke specifieke effecten deze opties vermoedelijk zouden hebben. In algemene zin bleek uit de raadplegingen dat de belanghebbenden het over een aantal zaken roerend eens waren. Die consensus betrof met name de noodzaak het huidige EU-kader inzake de veerkracht van kritieke infrastructuur te moderniseren, gezien de toenemende intersectorale afhankelijkheid en het veranderende dreigingslandschap.
Met name waren de meeste belanghebbenden het er over eens dat een eventuele nieuwe aanpak bindende en niet-bindende maatregelen moest omvatten, op veerkracht in plaats van op infrastructuurgerichte bescherming gericht moest zijn, en het verband tussen maatregelen ter verbetering van cyber- en niet-cybergerelateerde veerkracht moest verduidelijken. Bovendien spraken zij zich uit voor een aanpak die rekening houdt met bepalingen in de bestaande sectorale wetgeving en tenminste de door de huidige NIS-richtlijn bestreken sectoren omvat, alsook eenvormiger verplichtingen voor kritieke entiteiten op nationaal niveau, die op hun beurt personeel dat toegang heeft tot gevoelige faciliteiten/informatie, aan toereikende veiligheidscontroles moeten kunnen onderwerpen. Voorts raadden belanghebbenden aan ervoor te zorgen dat een nieuwe aanpak de lidstaten mogelijkheden biedt om beter toezicht uit te oefenen op de activiteiten van kritieke entiteiten, maar tevens waarborgt dat kritieke entiteiten van pan-Europees belang worden geïdentificeerd en voldoende veerkrachtig zijn. Ten slotte pleitten zij voor meer EU-financiering en -steun voor bv. de toepassing van nieuwe instrumenten, capaciteitsopbouw op nationaal niveau, publiek-private coördinatie/samenwerking en het uitwisselen van goede praktijken, kennis en deskundigheid op diverse niveaus. Het voorliggende voorstel bevat bepalingen die over het geheel genomen stroken met de standpunten en voorkeuren die de belanghebbenden kenbaar hebben gemaakt.
·Bijeenbrengen en gebruik van expertise
Zoals hierboven is opgemerkt, heeft de Commissie voor de ontwikkeling van dit voorstel gebruikgemaakt van externe deskundigheid door o.m. onafhankelijke deskundigen, deskundigennetwerken en leden van de academische wereld te raadplegen.
·
Effectbeoordeling
Bij de effectbeoordeling ten behoeve van de ontwikkeling van dit initiatief zijn verschillende beleidsopties voor de reeds genoemde algemene en specifieke problemen onderzocht. Naast het basisscenario (d.w.z. geen veranderingen ten opzichte van de huidige situatie) ging het om de volgende opties:
–optie 1: Behoud van de huidige ECI-richtlijn, vergezeld van vrijwillige maatregelen in het kader van het huidige EPCIP-programma;
–optie 2: Aanpassing van de huidige ECI-richtlijn, zodat deze geldt voor dezelfde sectoren als de huidige NIS-richtlijn en zich nadrukkelijker op veerkracht toespitst. De nieuwe ECI-richtlijn zou leiden tot veranderingen van de wijze waarop grensoverschrijdende ECI’s momenteel worden aangemerkt en onder meer voorzien in nieuwe criteria voor het aanwijzen van ECI’s en in nieuwe vereisten voor de lidstaten en exploitanten;
–optie 3: Vervanging van de bestaande ECI-richtlijn door een nieuw instrument, dat ten doel heeft de veerkracht te versterken van de kritieke entiteiten in de sectoren die uit hoofde van de voorgestelde NIS 2-richtlijn als essentieel zijn aangemerkt. Deze optie zou leiden tot minimumvereisten voor de lidstaten en de in het nieuwe kader geïdentificeerde kritieke entiteiten. Er zou een procedure worden vastgesteld voor de identificatie van kritieke entiteiten die diensten verlenen aan of in meerdere – zo niet alle – EU-lidstaten. De uitvoering van de wetgeving zou worden ondersteund door een speciaal kenniscentrum binnen de Commissie.
–optie 4: Vervanging van de bestaande ECI-richtlijn door een nieuw instrument dat ten doel heeft de veerkracht te versterken van kritieke entiteiten in de sectoren die uit hoofde van de voorgestelde NIS 2-richtlijn als essentieel zijn aangemerkt, en een substantiëlere rol voor de Commissie bij het identificeren van kritieke entiteiten en de totstandbrenging van een speciaal EU-agentschap voor de veerkracht van kritieke infrastructuur (dat de taken en verantwoordelijkheden zou krijgen die in de vorige optie zouden worden vervuld door het kenniscentrum).
Rekening houdend met de diverse economische, sociale en milieueffecten van elk van de opties, maar ook met de doeltreffendheid, doelmatigheid en evenredigheid ervan, heeft optie 3 volgens de effectbeoordeling de voorkeur. Terwijl de opties 1 en 2 niet de veranderingen teweegbrengen die nodig zijn om het probleem te verhelpen, zou optie 3 leiden tot een geharmoniseerd en breder kader voor veerkracht, dat ook zou zijn afgestemd op en rekening zou houden met het bestaande recht van de Unie op aanverwante gebieden. Ook werd vastgesteld dat optie 3 evenredig is en waarschijnlijk politiek haalbaar, aangezien zij in overeenstemming is met de verklaringen van de Raad en het Parlement over de noodzaak van EU-optreden op dit gebied. Voorts gold deze optie als een oplossing die waarschijnlijk zou zorgen voor flexibiliteit en zou voorzien in een toekomstbestendig kader dat kritieke entiteiten in staat zou stellen om in de loop der tijd te reageren op uiteenlopende risico’s. Ten slotte zou deze optie volgens de effectbeoordeling een aanvulling vormen op de bestaande sectorale en intersectorale kaders en instrumenten. Deze optie houdt er bijvoorbeeld rekening mee dat aangemerkte entiteiten wellicht al aan bepaalde verplichtingen van dit nieuwe instrument voldoen uit hoofde van verplichtingen vervat in bestaande instrumenten; in dat geval zouden zij geen aanvullende actie hoeven te ondernemen. Wel zouden zij worden geacht bepaalde maatregelen te nemen ingeval bestaande instrumenten de aangelegenheid niet bestrijken of enkel op bepaalde soorten risico’s of maatregelen betrekking hebben.
De effectbeoordeling werd grondig gecontroleerd door de Raad voor regelgevingstoetsing, die op 20 november 2020 een positief advies met voorbehoud uitbracht. De Raad voor regelgevingstoetsing wees op een aantal elementen van de effectbeoordeling dat voor verbetering vatbaar was. Met name verzocht de raad om nadere verduidelijking ten aanzien van de risico’s in verband met de kritieke infrastructuur en de grensoverschrijdende dimensie, het verband tussen het initiatief en de lopende herziening van de NIS-richtlijn, en de relatie tussen de voorkeursoptie en andere sectorale wetgeving. Voorts achtte de raad het noodzakelijk de verruiming van het sectorale toepassingsgebied van het instrument uitgebreider te rechtvaardigen en verzocht hij om aanvullende informatie over de criteria voor het selecteren van kritieke entiteiten. Wat ten slotte de evenredigheid betreft, wilde de raad meer duidelijkheid over de wijze waarop de voorkeursoptie zou leiden tot een betere nationale aanpak van nationale grensoverschrijdende risico’s. In de definitieve versie van de effectbeoordeling is rekening gehouden met deze en andere, meer gedetailleerde opmerkingen van de raad. Zo wordt nu uitvoeriger ingegaan op de grensoverschrijdende risico’s voor kritieke infrastructuur en op de relatie tussen dit voorstel en het voorstel voor de NIS 2-richtlijn. De opmerkingen van de raad zijn ook verwerkt in de hieronder voorgestelde richtlijn.
·Resultaatgerichtheid en vereenvoudiging
Conform het programma voor gezonde en resultaatgerichte regelgeving (Refit) van de Commissie moeten alle initiatieven die ten doel hebben de bestaande EU-wetgeving te veranderen, vereenvoudiging nastreven en de geformuleerde beleidsdoelstellingen efficiënter verwezenlijken. De resultaten van de effectbeoordeling duiden erop dat het voorstel de algehele lasten van de lidstaten zal verlichten. Mettertijd zal nauwere afstemming op de dienstgerichte aanpak van de huidige NIS-richtlijn de nalevingskosten waarschijnlijk drukken. Zo zal het omslachtige proces voor grensoverschrijdende identificatie en aanwijzing als vervat in de huidige ECI-richtlijn worden vervangen door een risicogebaseerde procedure op nationaal niveau die uitsluitend gericht is op het identificeren van kritieke entiteiten, waarvoor verschillende verplichtingen gelden. Op basis van de risicobeoordeling zouden de lidstaten kritieke entiteiten identificeren; de meeste daarvan zijn al als exploitanten van essentiële diensten aangemerkt krachtens de huidige NIS-richtlijn.
Door maatregelen te nemen om hun veerkracht te versterken, zullen kritieke entiteiten bovendien minder snel verstoringen ondervinden. Dit verkleint de kans dat verstorende incidenten hun weerslag hebben op de verlening van essentiële diensten in afzonderlijke lidstaten en in heel Europa. Samen met de positieve effecten van een harmonisatie op Unieniveau van de uiteenlopende nationale regels, zou dit gunstig zijn voor het bedrijfsleven, met inbegrip van micro-ondernemingen en kmo’s, de algemene gezondheid van de economie van de Unie en de betrouwbaarheid van de werking van de interne markt.
·Grondrechten
De voorgestelde wetgeving beoogt zowel de veerkracht te versterken van kritieke entiteiten die verschillende soorten essentiële diensten verlenen als een einde te maken aan regelgeving die deze entiteiten belemmert hun diensten in de hele Unie te verlenen. Zodoende wordt het algemene risico op verstoringen op maatschappelijk en individueel niveau beperkt en worden de lasten verlicht. Deze aanpak vergroot de openbare veiligheid en de vrijheid van ondernemingen om zaken te doen, is bevorderlijk voor vele andere marktdeelnemers die afhankelijk zijn van de verlening van essentiële diensten en komt uiteindelijk ook consumenten ten goede. De bepalingen van het voorstel die een doeltreffend veiligheidsonderzoek van werknemers moeten waarborgen, impliceren in de regel de verwerking van persoonsgegevens. Dit is nodig omdat specifieke personeelscategorieën antecedentenonderzoeken moeten ondergaan. Bovendien moet een dergelijke verwerking van persoonsgegevens altijd in overeenstemming zijn met de regels van de Unie inzake de bescherming van persoonsgegevens, waaronder de algemene verordening gegevensbescherming 13 .
4. GEVOLGEN VOOR DE BEGROTING
De voorgestelde richtlijn heeft gevolgen voor de begroting van de Unie. De totale financiële middelen die nodig zijn om de uitvoering van dit voorstel te ondersteunen, worden voor de periode 2021-2027 geraamd op 42,9 miljoen EUR; 5,1 miljoen EUR daarvan betreft administratieve uitgaven. Deze kosten kunnen als volgt worden uitgesplitst:
–ondersteunende activiteiten van de Commissie met inbegrip van personeel, projecten, studies en ondersteunende activiteiten,
–adviesmissies georganiseerd door de Commissie,
–regelmatige vergaderingen van de Groep voor de veerkracht van kritieke entiteiten en het comitologiecomité, en andere vergaderingen.
Nadere gegevens zijn opgenomen in het financieel memorandum bij dit voorstel.
5. OVERIGE ELEMENTEN
·Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
De uitvoering van de voorgestelde richtlijn zal vier en een half jaar na de inwerkingtreding ervan worden geëvalueerd, waarna de Commissie verslag zal uitbrengen aan het Europees Parlement en de Raad. In dit verslag zal worden nagegaan in hoeverre de lidstaten de nodige maatregelen hebben genomen om aan de richtlijn te voldoen. Zes jaar na de inwerkingtreding van de richtlijn zal de Commissie bij het Europees Parlement en de Raad een verslag indienen met een beoordeling van het effect en de meerwaarde van de richtlijn.
·
Artikelsgewijze toelichting
Onderwerp, toepassingsgebied en definities (artikelen 1 en 2)
Artikel 1 beschrijft het onderwerp en het toepassingsgebied van de richtlijn, uit hoofde waarvan de lidstaten verplicht zijn een aantal maatregelen te nemen om te waarborgen dat diensten die essentieel zijn voor het behoud van vitale maatschappelijke functies of economische activiteiten, op de interne dienstenmarkt worden verleend. Daarbij gaat het er met name om kritieke entiteiten te identificeren en deze identiteiten in staat te stellen te voldoen aan specifieke verplichtingen die erop gericht zijn zowel hun veerkracht als hun vermogen om die diensten op de interne markt te verlenen, te bevorderen. De richtlijn stelt ook regels vast voor het toezicht op en de handhaving inzake kritieke entiteiten en het specifieke toezicht op kritieke entiteiten die van bijzonder Europees belang worden geacht. Verder worden in artikel 1 de verhouding tussen de richtlijn en andere relevante handelingen van Unierecht toegelicht en de voorwaarden uiteengezet waaronder informatie die krachtens EU- en nationale voorschriften als vertrouwelijk geldt, met de Commissie en andere relevante autoriteiten dient te worden uitgewisseld. Artikel 2 bevat een lijst van toepasselijke definities.
Nationale kaders inzake de veerkracht van kritieke entiteiten (artikelen 3-9)
Artikel 3 bepaalt dat de lidstaten een strategie moeten vaststellen om de veerkracht van kritieke entiteiten te versterken, beschrijft de elementen die een dergelijke strategie moet omvatten, licht toe dat de strategie regelmatig en wanneer nodig moet worden bijgewerkt en bepaalt dat de lidstaten hun strategieën en eventuele actualiseringen daarvan aan de Commissie moeten meedelen. Artikel 4 bepaalt dat de bevoegde autoriteiten een lijst van essentiële diensten moeten opstellen en regelmatig een beoordeling moeten uitvoeren van alle relevante risico’s die van invloed kunnen zijn op de verlening van die essentiële diensten, met het oog op de identificatie van kritieke entiteiten. Deze beoordeling houdt rekening met de overeenkomstig andere relevante handelingen van Unierecht uitgevoerde risicobeoordelingen, de risico’s die voortvloeien uit de afhankelijkheden tussen de specifieke sectoren en de beschikbare informatie over incidenten. De lidstaten dienen ervoor te zorgen dat de relevante elementen van de risicobeoordeling ter beschikking van de kritieke entiteiten worden gesteld en dat er regelmatig gegevens over de geïdentificeerde soorten risico’s en de resultaten van de risicobeoordelingen aan de Commissie worden verstrekt.
Artikel 5 bepaalt dat de lidstaten kritieke entiteiten in specifieke sectoren en deelsectoren dienen te identificeren. Bij het identificatieproces moet rekening worden gehouden met de resultaten van de risicobeoordeling en moeten specifieke criteria worden toegepast. De lidstaten dienen een lijst van kritieke entiteiten op te stellen en die wanneer dat nodig is en regelmatig bij te werken. De kritieke entiteiten dienen naar behoren in kennis te worden gesteld van hun identificatie en de daaruit voortvloeiende verplichtingen. De bevoegde autoriteiten die verantwoordelijk zijn voor de uitvoering van de richtlijn, delen de bevoegde autoriteiten die verantwoordelijk zijn voor de tenuitvoerlegging van de NIS 2-richtlijn mee welke entiteiten als kritiek zijn geïdentificeerd. Wanneer twee of meer lidstaten een entiteit als kritiek hebben geïdentificeerd, moeten de lidstaten overleg met elkaar plegen om de last voor de kritische entiteit te verminderen. Wanneer kritieke entiteiten diensten verlenen aan of in meer dan een derde van de lidstaten, moet de betrokken lidstaat de Commissie in kennis stellen van de identiteit van die kritieke entiteiten.
Artikel 6 definieert het begrip “aanzienlijk verstorend effect” als bedoeld in artikel 5, lid 2, en vereist dat de lidstaten de Commissie in kennis stellen van bepaalde gegevens over de kritieke entiteiten die zij identificeren en over de wijze waarop zij bij de identificatie te werk zijn gegaan. Artikel 6 geeft de Commissie ook de bevoegdheid om, na raadpleging van de Groep voor de veerkracht van kritieke entiteiten, relevante richtsnoeren vaststellen.
Artikel 7 bepaalt dat de lidstaten in de bancaire- en financiëlemarktinfrastructuren en de digitale infrastructuur de entiteiten moeten identificeren die uitsluitend voor de toepassing van hoofdstuk II als gelijkwaardig aan kritieke entiteiten moeten worden behandeld. Deze entiteiten moeten in kennis worden gesteld van hun identificatie.
Artikel 8 bepaalt dat elke lidstaat een of meer bevoegde autoriteiten moet aanwijzen die verantwoordelijk zijn voor de correcte toepassing van de richtlijn op nationaal niveau, ervoor moet zorgen dat deze autoriteiten voldoende middelen tot hun beschikking hebben, en een centraal contactpunt dient te belasten met het waarborgen van grensoverschrijdende samenwerking. Het centrale contactpunt dient regelmatig een samenvattend verslag over de meldingen van incidenten in te dienen bij de Commissie. Artikel 8 bepaalt dat de bevoegde autoriteiten die verantwoordelijk zijn voor de toepassing van de richtlijn dienen samen te werken met andere relevante nationale autoriteiten, waaronder uit hoofde van de NIS 2-richtlijn aangewezen bevoegde autoriteiten Artikel 9 bepaalt dat de lidstaten steun moeten verlenen aan kritieke entiteiten bij het waarborgen van hun veerkracht. Ook moeten zij de samenwerking en de vrijwillige uitwisseling van informatie en goede praktijken tussen bevoegde autoriteiten en kritieke entiteiten bevorderen.
Veerkracht van kritieke entiteiten (artikelen 10-13)
Artikel 10 bepaalt dat kritieke entiteiten alle relevante risico’s regelmatig op basis van nationale risicobeoordelingen en andere relevante informatiebronnen moeten beoordelen. Artikel 11 bepaalt dat de kritieke entiteiten passende en evenredige technische en organisatorische maatregelen moeten nemen om hun veerkracht te waarborgen en dat zij die maatregelen ook in het plan inzake veerkracht of een gelijkwaardig document of gelijkwaardige documenten moeten beschrijven. De lidstaten kunnen de Commissie verzoeken adviesmissies te organiseren om kritieke entiteiten te adviseren over de nakoming van hun verplichtingen. Artikel 11 verleent de Commissie ook de bevoegdheid om zo nodig gedelegeerde handelingen en uitvoeringshandelingen vast te stellen.
Artikel 12 bepaalt dat de lidstaten ervoor moeten zorgen dat kritieke entiteiten verzoeken om een antecedentenonderzoek kunnen indienen ten aanzien van personen die tot bepaalde specifieke categorieën van hun personeel behoren of zouden kunnen gaan behoren, en dat die verzoeken snel worden beoordeeld door de autoriteiten die voor de uitvoering van dergelijke antecedentenonderzoeken verantwoordelijk zijn. Het artikel beschrijft het doel, de reikwijdte en de inhoud van de antecedentenonderzoeken, die alle drie in overeenstemming moeten zijn met de algemene verordening gegevensbescherming.
Artikel 13 bepaalt dat de lidstaten moeten waarborgen dat de kritieke entiteiten bevoegde autoriteit in kennis stellen van incidenten die hun functioneren aanzienlijk verstoren of zouden kunnen verstoren. De bevoegde autoriteiten voorzien op hun beurt de kennisgevende kritieke entiteit van relevante follow-upinformatie. Via het centrale contactpunt dienen de bevoegde autoriteiten ook de centrale contactpunten in andere getroffen lidstaten te informeren, ingeval het incident in een of meer andere lidstaten grensoverschrijdende gevolgen heeft of zou kunnen hebben.
Specifiek toezicht op kritieke entiteiten van bijzonder Europees belang (artikelen 14-15)
Artikel 14 definieert kritieke entiteiten die van bijzonder Europees belang zijn als entiteiten die als kritiek zijn aangemerkt en die essentiële diensten verlenen aan of in meer dan een derde van de lidstaten. Bij ontvangst van de kennisgeving krachtens artikel 5, lid 6, moet de Commissie de betrokken entiteit meedelen dat zij wordt beschouwd als een kritieke entiteit van bijzonder Europees belang, welke verplichtingen daaruit voortvloeien en op welke datum deze verplichtingen van toepassing worden. Artikel 15 beschrijft de specifieke voorschriften inzake het toezicht op de kritieke entiteiten van bijzonder Europees belang, zoals de bepaling dat de gastlidstaten de Commissie en de Groep voor de veerkracht van kritieke entiteiten op verzoek in kennis moeten stellen van informatie over de overeenkomstig artikel 10 uitgevoerde risicobeoordeling en de overeenkomstig artikel 11 genomen maatregelen, alsook van toezichts- of handhavingsmaatregelen. Artikel 15 bepaalt ook dat de Commissie adviesmissies kan organiseren om de maatregelen te beoordelen die specifieke kritieke entiteiten van bijzonder Europees belang hebben genomen. Op basis van een analyse van de bevindingen van de adviesmissie door de Groep voor de veerkracht van kritieke entiteiten deelt de Commissie aan de lidstaat waar de infrastructuur van de entiteit zich bevindt, haar standpunt mee over de vraag of die entiteit haar verplichtingen nakomt en, in voorkomend geval, over de maatregelen die zouden kunnen worden genomen om de veerkracht van die entiteit te verbeteren. Dit artikel beschrijft de samenstelling, organisatie en financiering van de adviesmissies. Ook wordt erin bepaald dat de Commissie een uitvoeringshandeling moet vaststellen met voorschriften inzake de procedureregels voor het verloop van en de verslagen over adviesmissies.
Samenwerking en verslaglegging (artikelen 16-17)
Artikel 16 beschrijft de rol en taken van de Groep voor de veerkracht van kritieke entiteiten, die dient te bestaan uit vertegenwoordigers van de lidstaten en de Commissie. Deze groep dient de Commissie te ondersteunen en zowel strategische samenwerking als informatie-uitwisseling te vergemakkelijken. Het artikel legt uit dat de Commissie uitvoeringshandelingen kan vaststellen met procedureregels die nodig zijn voor de werking van de Groep voor de veerkracht van kritieke entiteiten. Artikel 17 bepaalt dat de Commissie in voorkomend geval de lidstaten en kritieke entiteiten bij het nakomen van hun verplichtingen uit hoofde van de richtlijn moet ondersteunen en de in artikel 9 bedoelde activiteiten van de lidstaten moet aanvullen.
Toezicht en handhaving (artikel 18-19)
Artikel 18 bepaalt dat de lidstaten een aantal bevoegdheden, middelen en verantwoordelijkheden hebben wat betreft de uitvoering en handhaving van de richtlijn. De lidstaten moeten ervoor zorgen dat een bevoegde autoriteit, bij het beoordelen van de naleving door een kritieke entiteit, de krachtens de NIS 2-richtlijn aangewezen bevoegde autoriteiten van de betrokken lidstaat daarvan in kennis stelt, deze autoriteiten kan verzoeken om de cyberbeveiliging van een dergelijke entiteit te beoordelen en daartoe moet samenwerken en informatie moet uitwisselen. Artikel 19 bepaalt dat de lidstaten, overeenkomstig de gevestigde praktijk, de regels betreffende de sancties op overtredingen moeten vaststellen en alle nodige maatregelen moeten nemen om ervoor te zorgen dat deze ten uitvoer worden gelegd.
Slotbepalingen (artikelen 20-26)
Artikel 20 bepaalt dat de Commissie moet worden bijgestaan door een comité in de zin van Verordening (EU) nr. 182/2011. Dit is een standaardartikel. Artikel 21 kent de Commissie de bevoegdheid toe om gedelegeerde handelingen vast te stellen onder de in dat artikel neergelegde voorwaarden. Dit is eveneens een standaardartikel. Artikel 22 bepaalt dat de Commissie een verslag moet indienen bij het Europees Parlement en de Raad waarin wordt beoordeeld in hoeverre de lidstaten de nodige maatregelen hebben genomen om aan de richtlijn te voldoen. Bij het Europees Parlement en de Raad moet regelmatig een verslag worden ingediend waarin het effect en de meerwaarde van de richtlijn worden beoordeeld en waarin wordt nagegaan of het toepassingsgebied van de richtlijn moet worden uitgebreid tot andere sectoren of deelsectoren, zoals voedselproductie, -verwerking en -distributie.
Artikel 23 bepaalt dat Richtlijn 2008/114/EG wordt ingetrokken op de datum waarop de richtlijn in werking treedt. Artikel 24 bepaalt dat de lidstaten binnen de gestelde termijn de nodige wettelijke en bestuursrechtelijke bepalingen moeten vaststellen en bekendmaken om aan de richtlijn te voldoen en de Commissie daarvan in kennis moeten stellen. De tekst van de belangrijkste bepalingen van intern recht die de lidstaten op het onder deze richtlijn vallende gebied vaststellen, moet worden meegedeeld aan de Commissie. Artikel 25 bepaalt dat deze richtlijn in werking dient te treden op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie. Artikel 26 bepaalt dat de richtlijn tot de lidstaten is gericht.