Recital 4

De rechtsgrondslag voor Richtlijn (EU) 2016/1148 was artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat tot doel heeft de interne markt tot stand te brengen en te laten functioneren door de maatregelen voor de onderlinge aanpassing van de nationale regels te versterken. De cyberbeveiligingseisen die worden gesteld aan entiteiten die diensten of economisch belangrijke activiteiten verrichten, verschillen aanzienlijk van lidstaat tot lidstaat wat betreft het soort eisen, de mate van gedetailleerdheid en de wijze van toezicht. Die verschillen brengen extra kosten met zich mee en leveren problemen op voor entiteiten die goederen of diensten aanbieden over de grenzen heen. De eisen die door de ene lidstaat worden gesteld en die verschillen van of zelfs in strijd zijn met de door een andere lidstaat gestelde eisen kunnen een aanzienlijke invloed hebben op deze grensoverschrijdende activiteiten. Bovendien zal de mogelijkheid van een ontoereikend ontwerp of een ontoereikende uitvoering van de cyberbeveiligingseisen in een lidstaat waarschijnlijk gevolgen hebben op het niveau van de cyberbeveiliging in andere lidstaten, met name gezien de intensiteit van grensoverschrijdende uitwisselingen. Bij de evaluatie van Richtlijn (EU) 2016/1148 is gebleken dat de lidstaten de richtlijn op zeer uiteenlopende wijze uitvoeren, ook wat het toepassingsgebied betreft, waarvan de afbakening grotendeels aan het oordeel van de lidstaten is overgelaten. Richtlijn (EU) 2016/1148 bood de lidstaten ook een zeer ruime discretionaire bevoegdheid bij de uitvoering van de daarin vastgelegde verplichtingen inzake beveiliging en incidentenmelding. Die verplichtingen zijn daarom op nationaal niveau op aanzienlijk verschillende wijzen uitgevoerd. Er bestaan soortgelijke verschillen in de uitvoering van de bepalingen van Richtlijn (EU) 2016/1148 inzake toezicht en handhaving.