Recital 122

Ter versterking van de toezichtsbevoegdheden en -maatregelen die bijdragen tot een doeltreffende naleving, moet deze richtlijn voorzien in een minimumlijst van toezichtsmaatregelen en -middelen waarmee de bevoegde autoriteiten toezicht kunnen houden op essentiële en belangrijke entiteiten. Bovendien moet in deze richtlijn een onderscheid worden gemaakt tussen de toezichtsregeling voor essentiële en voor belangrijke entiteiten, teneinde te zorgen voor een billijk evenwicht tussen de verplichtingen voor die entiteiten en voor de bevoegde autoriteiten. Derhalve moeten essentiële entiteiten worden onderworpen aan een alomvattende regeling voor toezicht vooraf en achteraf, terwijl belangrijke entiteiten slechts moeten worden onderworpen aan een lichte regeling voor toezicht, uitsluitend achteraf. Van belangrijke entiteiten mag daarom niet worden verlangd dat zij systematisch de naleving van de risicobeheersmaatregelen op het gebied van cyberbeveiliging documenteren, aangezien de bevoegde autoriteiten het toezicht reactief en achteraf moeten uitvoeren en dus geen algemene verplichting hebben om toezicht te houden op die entiteiten. Het toezicht achteraf ten aanzien van belangrijke entiteiten kan worden geactiveerd wanneer bewijzen, aanwijzingen of informatie onder de aandacht van de bevoegde autoriteiten zijn gebracht en deze door die autoriteiten worden geacht te wijzen op mogelijke inbreuken op deze richtlijn. Dergelijke bewijzen, aanwijzingen of informatie kunnen bijvoorbeeld van het type zijn dat door andere autoriteiten, entiteiten, burgers, media of andere bronnen aan de bevoegde autoriteiten wordt verstrekt, kunnen openbaar beschikbare informatie zijn, of kunnen voortkomen uit andere werkzaamheden die de bevoegde autoriteiten in het kader van de uitvoering van hun taken verrichten.