1. Bij deze richtlijn worden maatregelen vastgesteld met het oog op het tot stand brengen van een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, teneinde de werking van de interne markt te verbeteren.
2. Daartoe wordt bij deze richtlijn in het volgende voorzien:
| a) | de vaststelling van verplichtingen voor alle lidstaten om een nationale strategie voor beveiliging van netwerk- en informatiesystemen vast te stellen; |
| b) | de instelling van een samenwerkingsgroep die de strategische samenwerking en informatie-uitwisseling tussen de lidstaten moet ondersteunen en onderling vertrouwen moet scheppen; |
| c) | de totstandbrenging van een netwerk van computer security incident response teams („CSIRT's-netwerk”) dat mede vertrouwen moet scheppen tussen de lidstaten en snelle en doeltreffende operationele samenwerking moet bevorderen; |
| d) | de vaststelling van beveiligings- en meldingseisen voor aanbieders van essentiële diensten en voor digitaledienstverleners; |
| e) | de vaststelling van verplichtingen voor de lidstaten om nationale bevoegde autoriteiten, centrale contactpunten en CSIRT's aan te wijzen, met taken in verband met de beveiliging van netwerk- en informatiesystemen. |
3. De beveiligings- en meldingseisen bedoeld in deze richtlijn zijn niet van toepassing op ondernemingen die zijn onderworpen aan de eisen van de artikelen 13 bis en 13 ter van Richtlijn 2002/21/EG, noch op verleners van vertrouwensdiensten die zijn onderworpen aan de eisen van artikel 19 van Verordening (EU) nr. 910/2014.
4. Deze richtlijn laat Richtlijn 2008/114/EG van de Raad (14) en de Richtlijnen 2011/93/EU (15) en 2013/40/EU (16) van het Europees Parlement en de Raad onverlet.
5. Onverminderd artikel 346 VWEU wordt informatie die als vertrouwelijk wordt beschouwd krachtens uniale en nationale voorschriften, zoals voorschriften inzake de vertrouwelijkheid van bedrijfsinformatie, uitsluitend met de Commissie en andere betrokken autoriteiten uitgewisseld wanneer die uitwisseling noodzakelijk is voor de toepassing van deze richtlijn. De uitgewisselde informatie wordt beperkt tot hetgeen relevant is voor en evenredig is met het doel van die uitwisseling. Bij die uitwisseling van informatie wordt de vertrouwelijkheid van de informatie gewaarborgd en de bescherming van de veiligheids- en commerciële belangen van aanbieders van essentiële diensten en digitaledienstverleners beschermd.
6. Deze richtlijn laat onverlet de maatregelen van de lidstaten ter bescherming van hun essentiële staatsfuncties, in het bijzonder ter bescherming van de nationale veiligheid (met inbegrip van maatregelen ter bescherming van informatie waarvan de lidstaten de verbreiding strijdig achten met de wezenlijke belangen van hun veiligheid), en ter handhaving van de openbare orde, met name om het onderzoek, de opsporing en de vervolging van strafbare feiten mogelijk te maken.
7. Wanneer een sectorspecifieke rechtshandeling van de Unie vereist dat aanbieders van essentiële diensten of digitaledienstverleners zorgen voor de beveiliging van hun netwerk- en informatiesystemen of de melding van incidenten, op voorwaarde dat die eisen ten minste feitelijk gelijkwaardig zijn aan de verplichtingen van deze richtlijn, zijn de bepalingen van die sectorspecifieke rechtshandeling van de Unie van toepassing.
