1. De lidstaten zorgen ervoor dat digitaledienstverleners de risico's voor de beveiliging van netwerk- en informatiesystemen die zij gebruiken voor het aanbieden van diensten in de Unie zoals genoemd in bijlage III, identificeren en passende en evenredige technische en organisatorische maatregelen nemen om die risico's te beheersen. Deze maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico's die zich voordoen, en houden rekening met de volgende aspecten:
| a) | de beveiliging van systemen en voorzieningen, |
| b) | behandeling van incidenten, |
| c) | het beheer van de bedrijfscontinuïteit, |
| d) | toezicht, controle en testen, |
| e) | inachtneming van de internationale normen. |
2. De lidstaten zorgen ervoor dat digitaledienstverleners maatregelen nemen om de gevolgen van incidenten die de beveiliging van hun netwerk- en informatiesystemen aantasten, voor de in bijlage III bedoelde diensten die in de Unie worden aangeboden, te voorkomen en te minimaliseren, zulks om de continuïteit van die diensten te waarborgen.
3. De lidstaten zorgen ervoor dat digitaledienstverleners ieder incident dat substantiële gevolgen heeft voor de verlening van een door hen in de Unie aangeboden dienst als bedoeld in bijlage III, onverwijld aan de bevoegde autoriteit of het CSIRT melden. De meldingen bevatten informatie die de bevoegde autoriteit of het CSIRT in staat stelt te bepalen of de grensoverschrijdende impact van het incident aanzienlijk is. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid.
4. Om te bepalen of een incident aanzienlijke gevolgen heeft, worden met name de volgende parameters in aanmerking genomen:
| a) | het aantal gebruikers dat door het incident wordt getroffen, in het bijzonder gebruikers die de dienst nodig hebben voor de verlening van hun eigen diensten; |
| b) | de duur van het incident; |
| c) | de omvang van het geografische gebied dat door het incident is getroffen; |
| d) | de omvang van de verstoring van de werking van de dienst; |
| e) | de omvang van de impact op de economische en maatschappelijke activiteiten. |
De verplichting om een incident te melden, geldt alleen wanneer de digitaledienstverlener toegang heeft tot de informatie die nodig is om de gevolgen van een incident ten aanzien van de eerste alinea bedoelde parameters te beoordelen.
5. Wanneer een aanbieder van essentiële diensten afhankelijk is van een derde digitaledienstverlener voor de verlening van een dienst die van essentieel belang is voor de instandhouding van kritieke maatschappelijke en economische activiteiten, meldt die aanbieder alle gevallen waarin een incident bij de digitaledienstverlener aanzienlijke gevolgen heeft voor de continuïteit van de essentiële diensten.
6. De bevoegde autoriteit of het CSIRT stelt in voorkomend geval, en in het bijzonder indien het in lid 3 bedoelde incident op twee of meer lidstaten betrekking heeft, de andere getroffen lidstaten in kennis. De bevoegde autoriteiten, de CSIRT's en het centrale contactpunt beschermen daarbij, overeenkomstig het Unierecht van de Unie of de nationale wetgeving die met het Unierecht in overeenstemming is, de veiligheids- en commerciële belangen van de digitaledienstverlener alsook de vertrouwelijkheid van de verstrekte informatie.
7. Wanneer publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen, of wanneer de openbaarmaking van het incident anderszins in het algemeen belang is, kunnen de bevoegde autoriteit of het in kennis gestelde CSIRT en, in voorkomend geval, de autoriteiten of CSIRT's van andere betrokken lidstaten na overleg met de betrokken digitaledienstverlener het publiek informeren over afzonderlijke incidenten of verlangen dat de digitaledienstverlener dit doet.
8. De Commissie stelt uitvoeringshandelingen vast waarin de in lid 1 genoemde aspecten, alsmede de in lid 4 van dit artikel genoemde parameters, nader worden gespecificeerd. Deze uitvoeringshandelingen worden uiterlijk op 9 augustus 2017 volgens de in artikel 22, lid 2, bedoelde onderzoeksprocedure vastgesteld.
9. De Commissie kan uitvoeringshandelingen vaststellen waarin de formats en de procedures voor meldingseisen worden opgenomen. Die uitvoeringshandelingen worden volgens de in artikel 22, lid 2, bedoelde onderzoeksprocedure vastgesteld.
10. Onverminderd artikel 1, lid 6, leggen de lidstaten digitaledienstverleners geen andere beveiligings- of meldingseisen op.
11. Hoofdstuk V is niet van toepassing op kleine en micro-ondernemingen, zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie (19).
