1. De lidstaten zorgen ervoor dat aanbieders van essentiële diensten passende en evenredige technische en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken, te beheersen. Deze maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico's die zich voordoen.
2. De lidstaten zorgen ervoor dat aanbieders van essentiële diensten passende maatregelen nemen om de gevolgen van incidenten die de beveiliging van de voor de verlening van die essentiële diensten gebruikte netwerk- en informatiesystemen aantasten, te voorkomen en te minimaliseren zulks om de continuïteit van deze diensten te waarborgen.
3. De lidstaten zorgen ervoor dat aanbieders van essentiële diensten incidenten met aanzienlijke gevolgen voor de continuïteit van de door hen verleende essentiële diensten onverwijld aan de bevoegde autoriteit of het CSIRT melden. De meldingen bevatten informatie die de bevoegde autoriteit of het CSIRT in staat stelt de eventuele grensoverschrijdende gevolgen van het incident te bepalen. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid.
4. Om te bepalen of een incident aanzienlijke gevolgen heeft, worden met name de volgende parameters in aanmerking genomen:
| a) | het aantal gebruikers dat door de verstoring van de essentiële dienst wordt getroffen; |
| b) | de duur van het incident; |
| c) | de omvang van het geografische gebied dat door het incident is getroffen. |
5. Op basis van de informatie in de melding van de aanbieder van essentiële diensten informeert de bevoegde autoriteit of het CSIRT de andere getroffen lidstaat (of lidstaten) als het incident aanzienlijke gevolgen heeft voor de continuïteit van essentiële diensten in die lidstaat (of lidstaten). De bevoegde autoriteit of het CSIRT beschermt daarbij, overeenkomstig het Unierecht of nationale wetgeving die met het Unierecht in overeenstemming is, de veiligheids- en commerciële belangen van de aanbieder van essentiële diensten alsook de vertrouwelijkheid van de informatie in diens melding.
Indien de omstandigheden dit toelaten, verstrekt de bevoegde autoriteit of het CSIRT de aanbieder van essentiële diensten die de melding indient, relevante informatie over de follow-up van diens melding, zoals informatie die tot een doeltreffende behandeling van het incident kan bijdragen.
Op verzoek van de bevoegde autoriteit of van het CSIRT stuurt het centraal contactpunt de in de eerste alinea bedoelde meldingen door naar de centrale contactpunten van andere getroffen lidstaten.
6. Wanneer publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen, kan de bevoegde autoriteit of het CSIRT na raadpleging van de aanbieder van essentiële diensten die de melding heeft ingediend, het publiek over afzonderlijke incidenten informeren.
7. Bevoegde autoriteiten die samen optreden binnen de samenwerkingsgroep kunnen richtsnoeren opstellen en aannemen over de omstandigheden waarin aanbieders van essentiële diensten verplicht zijn incidenten te melden, onder andere over de in lid 4 bedoelde parameters om te bepalen of de gevolgen van een incident aanzienlijk zijn.
