Youtube Linkedin
Stellen Sie uns Ihre Fragen
DE 🇩🇪
DE 🇩🇪 ENG 🇬🇧 SLO 🇸🇮 HR 🇭🇷 FR 🇫🇷
Konsultieren
Nis2Compliant.org
Sprechen Sie mit einem Experten

Vollständiger Text der NIS 2-Richtlinie

Kapitel 1 – Allgemeine Bestimmungen

  1. Mit dieser Richtlinie werden Maßnahmen festgelegt, die darauf abzielen, in der gesamten Union ein hohes gemeinsames Niveau an Cybersicherheit zu erreichen und so das Funktionieren des Binnenmarktes zu verbessern.
  2. Zu diesem Zweck wird in dieser Richtlinie Folgendes festgelegt:

    • Verpflichtungen, die die Mitgliedstaaten zur Annahme nationaler Strategien zur Cybersicherheit und zur Benennung oder Einrichtung zuständiger Behörden, Behörden für das Cyberkrisenmanagement, einheitlicher Anlaufstellen für Cybersicherheit (Single Points of Contact) und Reaktionsteams für Computer-Sicherheitsvorfälle (CSIRTs) verpflichten;
    • Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und Meldepflichten für Einrichtungen der in Anhang I oder II genannten Art sowie für Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft werden;
    • Regeln und Pflichten für den Austausch von Informationen zur Cybersicherheit;
    • Aufsichts- und Durchsetzungspflichten für die Mitgliedstaaten.
 
  1. Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in Anhang I oder II genannten Art, die als mittlere Unternehmen gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG gelten oder die in Absatz 1 des genannten Artikels festgelegten Höchstgrenzen für mittlere Unternehmen überschreiten und die ihre Dienstleistungen oder Tätigkeiten innerhalb der Union erbringen.

    Artikel 3 Absatz 4 des Anhangs dieser Empfehlung findet für die Zwecke dieser Richtlinie keine Anwendung.

  2. Diese Richtlinie gilt auch für Unternehmen der in Anhang I oder II genannten Art, unabhängig von ihrer Größe, sofern
    1. Dienstleistungen werden erbracht durch:
      1. Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste;
      2. Anbieter von Vertrauensdiensten;
      3. Top-Level-Domain-Name-Register und Domain-Name-System-Dienstanbieter;
    2. die Einrichtung ist der einzige Anbieter in einem Mitgliedstaat einer Dienstleistung, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung ist;
    3. eine Störung der von der Einrichtung erbrachten Dienstleistung erhebliche Auswirkungen auf die öffentliche Ordnung, Sicherheit oder Gesundheit haben könnte;
    4. Eine Störung der von dem Unternehmen erbrachten Dienstleistung könnte ein erhebliches systemisches Risiko darstellen, insbesondere in Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte;
    5. die Einrichtung ist aufgrund ihrer besonderen Bedeutung auf nationaler oder regionaler Ebene für den betreffenden Sektor bzw. die betreffende Dienstleistungsart oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat von entscheidender Bedeutung;
    6. Bei der Einrichtung handelt es sich um eine Einrichtung der öffentlichen Verwaltung:
      1. der Zentralregierung im Sinne der Definition eines Mitgliedstaats gemäß dem nationalen Recht; oder
      2. auf regionaler Ebene, wie von einem Mitgliedstaat gemäß nationalem Recht definiert, die nach einer risikobasierten Bewertung Dienste bereitstellt, deren Störung erhebliche Auswirkungen auf wichtige gesellschaftliche oder wirtschaftliche Aktivitäten haben könnte.
  3. Diese Richtlinie gilt für Unternehmen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Unternehmen eingestuft werden, unabhängig von ihrer Größe.
  4. Diese Richtlinie gilt für Unternehmen, die Dienste zur Registrierung von Domänennamen anbieten, unabhängig von ihrer Größe.
  5. Die Mitgliedstaaten können vorsehen, dass diese Richtlinie Anwendung findet auf:
    1. Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene;
    2. Bildungseinrichtungen, insbesondere dort, wo sie wichtige Forschungsaktivitäten durchführen.
  6. Diese Richtlinie berührt nicht die Verantwortung der Mitgliedstaaten für den Schutz der nationalen Sicherheit und ihre Befugnis, sonstige wesentliche staatliche Funktionen zu schützen, wozu auch die Gewährleistung der territorialen Integrität des Staates und die Aufrechterhaltung von Recht und Ordnung gehören.
  7. Diese Richtlinie gilt nicht für Stellen der öffentlichen Verwaltung, die in den Bereichen der nationalen Sicherheit, der öffentlichen Sicherheit, der Landesverteidigung oder der Strafverfolgung tätig sind, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten.
  8. Die Mitgliedstaaten können bestimmte Stellen, die Tätigkeiten in den Bereichen der nationalen Sicherheit, der öffentlichen Sicherheit, der Landesverteidigung oder der Strafverfolgung, einschließlich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, durchführen oder ausschließlich Dienstleistungen für die in Absatz 7 dieses Artikels genannten Stellen der öffentlichen Verwaltung erbringen, von den Verpflichtungen ausnehmen, die in Artikel 21 oder 23 in Bezug auf diese Tätigkeiten oder Dienstleistungen. In solchen Fällen gelten die in Kapitel VII genannten Aufsichts- und Durchsetzungsmaßnahmen nicht in Bezug auf diese spezifischen Tätigkeiten oder Dienstleistungen. Wenn die Unternehmen ausschließlich Tätigkeiten oder Dienstleistungen der in diesem Absatz genannten Art ausüben, können die Mitgliedstaaten beschließen, diese Unternehmen auch von den Verpflichtungen gemäß Artikel 3 Und 27.
  9. Die Absätze 7 und 8 gelten nicht, wenn eine Stelle als Vertrauensdiensteanbieter handelt.
  10. Diese Richtlinie gilt nicht für Unternehmen, die die Mitgliedstaaten gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 vom Anwendungsbereich dieser Verordnung ausgenommen haben.
  11. Die in dieser Richtlinie festgelegten Verpflichtungen beinhalten nicht die Bereitstellung von Informationen, deren Offenlegung den wesentlichen Interessen der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung der Mitgliedstaaten zuwiderlaufen würde.
  12. Diese Richtlinie gilt unbeschadet der Verordnung (EU) 2016/679, der Richtlinie 2002/58/EG, der Richtlinien 2011/93/EU (27) und 2013/40/EU (28) des Europäischen Parlaments und des Rates und der Richtlinie (EU) 2022/2557.
  13. Unbeschadet des Artikels 346 AEUV werden Informationen, die nach Unions- oder nationalen Vorschriften, etwa Vorschriften zum Geschäftsgeheimnis, vertraulich sind, nur dann gemäß dieser Richtlinie mit der Kommission und anderen einschlägigen Behörden ausgetauscht, wenn dieser Austausch für die Anwendung dieser Richtlinie erforderlich ist. Der Informationsaustausch beschränkt sich auf das, was für den Zweck des Austauschs relevant und angemessen ist. Der Informationsaustausch wahrt die Vertraulichkeit dieser Informationen und schützt die Sicherheit und die Geschäftsinteressen der betroffenen Stellen.
  14. Die Stellen, die zuständigen Behörden, die einheitlichen Anlaufstellen und die CSIRTs verarbeiten personenbezogene Daten im erforderlichen Umfang für die Zwecke dieser Richtlinie und im Einklang mit der Verordnung (EU) 2016/679; eine solche Verarbeitung stützt sich insbesondere auf Artikel 6 der genannten Verordnung.

    Die Verarbeitung personenbezogener Daten gemäß dieser Richtlinie durch Betreiber öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste erfolgt im Einklang mit dem Datenschutzrecht und den Rechtsvorschriften der Union zum Schutz der Privatsphäre, insbesondere der Richtlinie 2002/58/EG.

(27) Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).
(28) Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. L 218 vom 14.8.2013, S. 8).
 
  1. Für die Zwecke dieser Richtlinie werden folgende Einrichtungen als wesentliche Einrichtungen angesehen:
    1. Unternehmen der in Anhang I genannten Art, die die in Artikel 2 Absatz 1 des Anhangs der Empfehlung 2003/361/EG vorgesehenen Höchstgrenzen für mittlere Unternehmen überschreiten;
    2. qualifizierte Vertrauensdiensteanbieter und Top-Level-Domain-Name-Registrare sowie DNS-Dienstanbieter, unabhängig von ihrer Größe;
    3. Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste, die als mittlere Unternehmen gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG gelten;
    4. Stellen der öffentlichen Verwaltung im Sinne des Artikels 2 Absatz 2 Buchstabe f Ziffer i;
    5. alle anderen Einrichtungen der in Anhang I oder II genannten Art, die von einem Mitgliedstaat als wesentliche Einrichtungen gemäß Artikel 2 Absatz 2 Buchstaben b bis e eingestuft werden;
    6. Einrichtungen, die im Sinne der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden und auf die in Artikel 2 Absatz 3 dieser Richtlinie verwiesen wird;
    7. sofern der Mitgliedstaat dies vorsieht, Einrichtungen, die dieser Mitgliedstaat vor dem 16. Januar 2023 gemäß der Richtlinie (EU) 2016/1148 oder seinem nationalen Recht als Betreiber wesentlicher Dienste identifiziert hat.
  2. Für die Zwecke dieser Richtlinie gelten Einrichtungen der in Anhang I oder II genannten Art, die nicht als wesentliche Einrichtungen gemäß Absatz 1 dieses Artikels gelten, als wichtige Einrichtungen. Dazu gehören Einrichtungen, die von den Mitgliedstaaten gemäß Artikel 2 Absatz 2 Buchstaben b bis e als wichtige Einrichtungen eingestuft werden.
  3. Bis zum 17. April 2025 erstellen die Mitgliedstaaten eine Liste wesentlicher und wichtiger Einrichtungen sowie der Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten. Die Mitgliedstaaten überprüfen diese Liste regelmäßig und aktualisieren sie gegebenenfalls danach mindestens alle zwei Jahre.
  4.  Zum Zwecke der Erstellung der in Absatz 3 genannten Liste verpflichten die Mitgliedstaaten die in jenem Absatz genannten Unternehmen, den zuständigen Behörden zumindest folgende Informationen vorzulegen:
    1. der Name der Entität;
    2. die Adresse und aktuelle Kontaktdaten, einschließlich E-Mail-Adressen, IP-Bereiche und Telefonnummern;
    3. gegebenenfalls den in Anhang I oder II genannten Sektor und Teilsektor; und
    4. gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie Dienstleistungen erbringen, die in den Anwendungsbereich dieser Richtlinie fallen.

    Die in Absatz 3 genannten Stellen teilen Änderungen der gemäß Unterabsatz 1 des vorliegenden Absatzes übermittelten Angaben unverzüglich und in jedem Fall innerhalb von zwei Wochen nach der Änderung mit.

    Die Kommission stellt mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich Leitlinien und Muster hinsichtlich der in diesem Absatz festgelegten Verpflichtungen bereit.

    Die Mitgliedstaaten können nationale Mechanismen für die Registrierung von Unternehmen einrichten.

  5. Bis zum 17. April 2025 und danach alle zwei Jahre melden die zuständigen Behörden:
    1. der Kommission und der Kooperationsgruppe die Anzahl der gemäß Absatz 3 aufgeführten wesentlichen und wichtigen Unternehmen für jeden in Anhang I oder II genannten Sektor und Teilsektor; und
    2. der Kommission relevante Informationen über die Zahl der gemäß Artikel 2 Absatz 2 Buchstaben b bis e ermittelten wesentlichen und wichtigen Einrichtungen, über den in Anhang I oder II genannten Sektor und Teilsektor, zu dem sie gehören, über die Art der von ihnen erbrachten Dienstleistung und über die in Artikel 2 Absatz 2 Buchstaben b bis e genannte Dienstleistung, aufgrund derer sie ermittelt wurden.
  6. Bis zum 17. April 2025 können die Mitgliedstaaten der Kommission auf deren Ersuchen die Namen der in Absatz 5 Buchstabe b genannten wesentlichen und wichtigen Einrichtungen mitteilen.
  1. Wenn wesentliche oder wichtige Einrichtungen aufgrund sektorspezifischer Rechtsakte der Union verpflichtet sind, Risikomanagementmaßnahmen für die Cybersicherheit zu ergreifen oder bedeutende Sicherheitsvorfälle zu melden, und wenn diese Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen zumindest gleichwertig sind, gelten die einschlägigen Bestimmungen dieser Richtlinie, einschließlich der in Kapitel VII festgelegten Bestimmungen zu Aufsicht und Durchsetzung, nicht für diese Einrichtungen. Wenn sektorspezifische Rechtsakte der Union nicht alle Einrichtungen eines bestimmten Sektors abdecken, die in den Anwendungsbereich dieser Richtlinie fallen, gelten die einschlägigen Bestimmungen dieser Richtlinie weiterhin für die Einrichtungen, die nicht unter diese sektorspezifischen Rechtsakte der Union fallen.
  2. Die in Absatz 1 dieses Artikels genannten Anforderungen gelten in ihrer Wirkung als den in dieser Richtlinie festgelegten Verpflichtungen gleichwertig, wenn:
    1. Die Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit sind in ihrer Wirkung den in Artikel 21 Absätze 1 und 2 festgelegten Maßnahmen mindestens gleichwertig; oder
    2. der sektorspezifische Rechtsakt der Union einen sofortigen, gegebenenfalls automatischen und direkten Zugang zu den Meldungen von Sicherheitsvorfällen durch die CSIRTs, die zuständigen Behörden oder die einheitlichen Anlaufstellen gemäß dieser Richtlinie vorsieht, und wobei die Anforderungen an die Meldung bedeutender Sicherheitsvorfälle in ihrer Wirkung den in Artikel 23 Absätze 1 bis 6 dieser Richtlinie festgelegten Anforderungen mindestens gleichwertig sind.
  3. Die Kommission legt bis zum 17. Juli 2023 Leitlinien zur Erläuterung der Anwendung der Absätze 1 und 2 vor. Die Kommission überprüft diese Leitlinien regelmäßig. Bei der Ausarbeitung dieser Leitlinien berücksichtigt die Kommission sämtliche Anmerkungen der Kooperationsgruppe und der ENISA.
 

Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen zur Gewährleistung eines höheren Maßes an Cybersicherheit zu erlassen oder beizubehalten, sofern diese Bestimmungen mit den im Unionsrecht festgelegten Verpflichtungen der Mitgliedstaaten im Einklang stehen.

Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck

  1. „Netz und Informationssystem“ bezeichnet:
    1. ein elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2018/1972;
    2. jedes Gerät oder jede Gruppe miteinander verbundener oder verwandter Geräte, von denen eines oder mehrere gemäß einem Programm eine automatische Verarbeitung digitaler Daten durchführen; oder
    3. digitale Daten, die von den unter den Buchstaben a und b genannten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Wartung gespeichert, verarbeitet, abgerufen oder übermittelt werden;
  2. „Sicherheit von Netz- und Informationssystemen“ die Fähigkeit von Netz- und Informationssystemen, mit einem bestimmten Vertrauensniveau allen Ereignissen standzuhalten, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit der gespeicherten, übermittelten oder verarbeiteten Daten oder der von diesen Netz- und Informationssystemen angebotenen oder über diese zugänglichen Dienste beeinträchtigen könnten;
  3. „Cybersicherheit“ bezeichnet die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881;
  4. „nationale Cybersicherheitsstrategie“ einen kohärenten Rahmen eines Mitgliedstaats, der strategische Ziele und Prioritäten im Bereich der Cybersicherheit sowie die Governance für deren Verwirklichung in dem jeweiligen Mitgliedstaat vorgibt;
  5. „Beinaheunfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder von Diensten, die von Netz- und Informationssystemen angeboten werden oder über diese zugänglich sind, hätte beeinträchtigen können, dessen Eintritt jedoch erfolgreich verhindert werden konnte oder das gar nicht erst eingetreten ist;
  6. „Vorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder der von Netz- und Informationssystemen angebotenen oder über diese zugänglichen Dienste beeinträchtigt;
  7. „Cybersicherheitsvorfall großen Ausmaßes“ ist ein Vorfall, der Störungen in einem Ausmaß verursacht, das die Reaktionsfähigkeit eines Mitgliedstaats übersteigt, oder der erhebliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat;
  8. „Vorfallbehandlung“ bezeichnet alle Maßnahmen und Verfahren, die der Verhütung, Erkennung, Analyse und Eindämmung eines Vorfalls bzw. der Reaktion auf einen Vorfall bzw. der Behebung eines Vorfalls dienen;
  9. „Risiko“ bezeichnet den potenziellen Verlust oder die potenzielle Störung aufgrund eines Vorfalls und ist als Kombination aus dem Ausmaß des Verlusts oder der Störung und der Wahrscheinlichkeit des Auftretens des Vorfalls auszudrücken;
  10. „Cyberbedrohung“ eine Cyberbedrohung im Sinne von Artikel 2 Nummer 8 der Verordnung (EU) 2019/881;
  11. „erhebliche Cyberbedrohung“ eine Cyberbedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf die Netz- und Informationssysteme einer Stelle oder auf die Nutzer der Dienste dieser Stelle zu haben, indem sie erheblichen materiellen oder immateriellen Schaden verursacht;
  12. „IKT-Produkt“ bezeichnet ein IKT-Produkt im Sinne von Artikel 2 Nummer 12 der Verordnung (EU) 2019/881;
  13. „IKT-Dienst“ bezeichnet einen IKT-Dienst im Sinne von Artikel 2 Nummer 13 der Verordnung (EU) 2019/881;
  14. „IKT-Prozess“ bezeichnet einen IKT-Prozess im Sinne von Artikel 2 Nummer 14 der Verordnung (EU) 2019/881;
  15. „Sicherheitslücke“ bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die/der von einer Cyberbedrohung ausgenutzt werden kann;
  16. „Standard“ ist ein Standard im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (29);
  17. „technische Spezifikation“ ist eine technische Spezifikation im Sinne von Artikel 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012;
  18. „Internet-Knotenpunkt“ ist eine Netzwerkeinrichtung, die die Verbindung von mehr als zwei unabhängigen Netzwerken (autonomen Systemen) ermöglicht, und zwar in erster Linie zum Zweck der Erleichterung des Austauschs von Internet-Datenverkehr, die die Verbindung nur für autonome Systeme bereitstellt und die weder erfordert, dass der Internet-Datenverkehr zwischen zwei beteiligten autonomen Systemen über ein drittes autonomes System läuft, noch die diesen Datenverkehr verändert oder anderweitig stört;
  19. „Domänennamensystem“ oder „DNS“ ist ein hierarchisch verteiltes Benennungssystem, das die Identifizierung von Internetdiensten und -ressourcen ermöglicht und es Endbenutzergeräten gestattet, Internet-Routing- und -Konnektivitätsdienste zu nutzen, um auf diese Dienste und Ressourcen zuzugreifen;
  20. „DNS-Dienstanbieter“ bezeichnet eine Stelle, die Folgendes bereitstellt:
    1. öffentlich zugängliche rekursive Domänennamenauflösungsdienste für Internet-Endnutzer; oder
    2. autoritative Dienste zur Domänennamenauflösung für die Verwendung durch Dritte, mit Ausnahme von Root-Nameservern;
  21. „Top-Level-Domain-Name-Register“ oder „TLD-Name-Register“ bezeichnet eine Stelle, der eine bestimmte TLD übertragen wurde und die für die Verwaltung der TLD einschließlich der Registrierung von Domain-Namen unter der TLD und des technischen Betriebs der TLD verantwortlich ist, einschließlich des Betriebs ihrer Name-Server, der Pflege ihrer Datenbanken und der Verteilung der TLD-Zonendateien auf die Name-Server, unabhängig davon, ob diese Vorgänge von der Stelle selbst durchgeführt oder ausgelagert werden, ausgenommen jedoch Situationen, in denen TLD-Namen von einem Register nur für den Eigengebrauch verwendet werden;
  22. „Unternehmen, das Dienste zur Registrierung von Domänennamen anbietet“ bezeichnet einen Registrar oder einen im Auftrag von Registraren handelnden Vertreter, beispielsweise einen Anbieter oder Wiederverkäufer von Datenschutz- oder Proxy-Registrierungsdiensten;
  23. „digitaler Dienst“ einen Dienst im Sinne des Artikels 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (30);
  24. „Vertrauensdienst“ bezeichnet einen Vertrauensdienst im Sinne von Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014;
  25. „Vertrauensdiensteanbieter“ bezeichnet einen Vertrauensdiensteanbieter im Sinne von Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014;
  26. „qualifizierter Vertrauensdienst“ einen qualifizierten Vertrauensdienst im Sinne von Artikel 3 Nummer 17 der Verordnung (EU) Nr. 910/2014;
  27. „qualifizierter Vertrauensdiensteanbieter“ einen qualifizierten Vertrauensdiensteanbieter im Sinne von Artikel 3 Nummer 20 der Verordnung (EU) Nr. 910/2014;
  28. „Online-Marktplatz“ bezeichnet einen Online-Marktplatz im Sinne von Artikel 2 Buchstabe n der Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates (31);
  29. „Online-Suchmaschine“ ist eine Online-Suchmaschine im Sinne des Artikels 2 Nummer 5 der Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates (32);
  30. „Cloud-Computing-Dienst“ ist ein digitaler Dienst, der die bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und flexiblen Pool gemeinsam nutzbarer Computerressourcen ermöglicht, auch wenn diese Ressourcen über mehrere Standorte verteilt sind;
  31. „Rechenzentrumsdienst“ bezeichnet einen Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die der zentralen Unterbringung, Zusammenschaltung und dem Betrieb von IT- und Netzwerkgeräten dienen und Datenspeicherungs-, Verarbeitungs- und Transportdienste zusammen mit allen Einrichtungen und Infrastrukturen für die Stromverteilung und Umgebungskontrolle bereitstellen;
  32. „Content Delivery Network“ ist ein Netzwerk aus geografisch verteilten Servern, das im Auftrag von Inhalts- und Dienstanbietern eine hohe Verfügbarkeit, Zugänglichkeit oder schnelle Bereitstellung digitaler Inhalte und Dienste für Internetnutzer gewährleistet;
  33. „Plattform für soziale Netzwerkdienste“ ist eine Plattform, die es Endnutzern ermöglicht, über mehrere Geräte hinweg insbesondere über Chats, Posts, Videos und Empfehlungen miteinander in Verbindung zu treten, Inhalte auszutauschen, Dinge zu entdecken und zu kommunizieren;
  34. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die ausdrücklich dazu befugt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namensregisters, einer Stelle, die Dienste zur Registrierung von Domänennamen anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdienstleisters, eines Anbieters von Content-Delivery-Networks, eines Managed Service Providers, eines Managed Security Service Providers oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform für soziale Netzwerkdienste zu handeln, die nicht in der Union niedergelassen ist, und an die sich im Hinblick auf die Verpflichtungen dieser Stelle gemäß dieser Richtlinie eine zuständige Behörde oder ein CSIRT anstelle der Stelle der Stelle selbst wenden kann;
  35. „Einrichtung der öffentlichen Verwaltung“ ist eine Einrichtung, die in einem Mitgliedstaat gemäß dem nationalen Recht als solche anerkannt ist (ausgenommen Justiz, Parlamente oder Zentralbanken), und die folgende Kriterien erfüllt:
    1. Sie wird zur Erfüllung von im Allgemeininteresse liegenden Aufgaben gegründet und hat keinen industriellen oder kommerziellen Charakter.
    2. Sie besitzt Rechtspersönlichkeit oder ist kraft Gesetzes befugt, im Namen einer anderen juristischen Person zu handeln;
    3. Sie wird überwiegend vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts finanziert, unterliegt bei der Geschäftsleitung der Aufsicht dieser Behörden oder Einrichtungen oder verfügt über ein Verwaltungs-, Leitungs- oder Aufsichtsorgan, dessen Mitglieder zu mehr als der Hälfte vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts ernannt werden;
    4. Sie ist befugt, an natürliche oder juristische Personen Verwaltungs- oder Regelungsentscheidungen zu richten, die deren Rechte im grenzüberschreitenden Verkehr von Personen, Waren, Dienstleistungen oder Kapital berühren.
  36. „öffentliches elektronisches Kommunikationsnetz“ bezeichnet ein öffentliches elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 8 der Richtlinie (EU) 2018/1972;
  37. „elektronischer Kommunikationsdienst“ bezeichnet einen elektronischen Kommunikationsdienst im Sinne von Artikel 2 Nummer 4 der Richtlinie (EU) 2018/1972;
  38. „Unternehmen“ ist eine natürliche oder juristische Person, die nach dem Recht ihres Niederlassungsorts gegründet und als solche anerkannt ist und in ihrem eigenen Namen Rechte ausüben und Pflichten unterliegen kann;
  39. „Managed Service Provider“ ist ein Unternehmen, das Dienste im Zusammenhang mit der Installation, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastrukturen, -Anwendungen oder anderen Netz- und Informationssystemen anbietet, und zwar durch Unterstützung oder aktive Verwaltung, die entweder vor Ort beim Kunden oder aus der Ferne erfolgt;
  40. „Managed Security Service Provider“ bezeichnet einen Managed Service Provider, der Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich der Cybersicherheit durchführt oder dabei Unterstützung leistet;
  41. „Forschungseinrichtung“ ist eine Einrichtung, deren Hauptziel die Durchführung angewandter Forschung oder experimenteller Entwicklung mit dem Ziel ist, die Ergebnisse dieser Forschung zu kommerziellen Zwecken zu nutzen; Bildungseinrichtungen fallen hierunter nicht.
(29) Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12).
(30) Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).
(31) Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates („Richtlinie über unlautere Geschäftspraktiken“) (ABl. L 149 vom 11.6.2005, S. 22).
(32) Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten (ABl. L 186 vom 11.7.2019, S. 57).

Kapitel 2 – Koordinierte Rahmenbedingungen für Cybersicherheit

  1. Jeder Mitgliedstaat verabschiedet eine nationale Cybersicherheitsstrategie, in der die strategischen Ziele, die zur Erreichung dieser Ziele erforderlichen Ressourcen sowie geeignete politische und regulatorische Maßnahmen festgelegt sind, um ein hohes Maß an Cybersicherheit zu erreichen und aufrechtzuerhalten. Die nationale Cybersicherheitsstrategie umfasst:
    1. Ziele und Prioritäten der Cybersicherheitsstrategie des Mitgliedstaats, die insbesondere die in den Anhängen I und II genannten Sektoren abdeckt;
    2. einen Governance-Rahmen für die Verwirklichung der unter Buchstabe a dieses Absatzes genannten Ziele und Prioritäten, einschließlich der in Absatz 2 genannten Strategien;
    3. einen Governance-Rahmen, der die Rollen und Zuständigkeiten der einschlägigen Interessenträger auf nationaler Ebene klarstellt und der die Zusammenarbeit und Koordinierung auf nationaler Ebene zwischen den zuständigen Behörden, den einheitlichen Anlaufstellen und den CSIRTs im Rahmen dieser Richtlinie sowie die Koordinierung und Zusammenarbeit zwischen diesen Stellen und den zuständigen Behörden im Rahmen sektorspezifischer Rechtsakte der Union unterstützt;
    4. einen Mechanismus zur Ermittlung relevanter Vermögenswerte und eine Bewertung der Risiken in dem jeweiligen Mitgliedstaat;
    5. eine Festlegung der Maßnahmen zur Gewährleistung der Vorbereitung auf Sicherheitsvorfälle, der Reaktion darauf und der Bewältigung dieser Vorfälle, einschließlich der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor;
    6. eine Liste der verschiedenen Behörden und Interessenträger, die an der Umsetzung der nationalen Cybersicherheitsstrategie beteiligt sind;
    7. einen politischen Rahmen für eine verstärkte Koordinierung zwischen den gemäß dieser Richtlinie zuständigen Behörden und den gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden zum Zwecke des Informationsaustauschs über Risiken, Cyber-Bedrohungen und Cyber-Vorfälle sowie über nicht-Cyber-Risiken, -Bedrohungen und -Vorfälle und gegebenenfalls zur Wahrnehmung von Aufsichtsaufgaben;
    8. einen Plan mit den erforderlichen Maßnahmen zur Steigerung des allgemeinen Bewusstseins der Bürger für Cybersicherheit.
  2.  Im Rahmen der nationalen Cybersicherheitsstrategie verabschieden die Mitgliedstaaten insbesondere Maßnahmen:
    1. Berücksichtigung der Cybersicherheit in der Lieferkette für IKT-Produkte und IKT-Dienste, die von Unternehmen zur Bereitstellung ihrer Dienste verwendet werden;
    2. zur Aufnahme und Spezifizierung cybersicherheitsbezogener Anforderungen an IKT-Produkte und IKT-Dienste in die öffentliche Auftragsvergabe, auch in Bezug auf die Cybersicherheitszertifizierung, Verschlüsselung und die Verwendung von Open-Source-Cybersicherheitsprodukten;
    3. Umgang mit Schwachstellen, einschließlich der Förderung und Erleichterung einer koordinierten Offenlegung von Schwachstellen im Rahmen Artikel 12 Absatz 1;
    4. im Zusammenhang mit der Aufrechterhaltung der allgemeinen Verfügbarkeit, Integrität und Vertraulichkeit des öffentlichen Kerns des offenen Internets, einschließlich, soweit relevant, der Cybersicherheit von Unterseekommunikationskabeln;
    5. Förderung der Entwicklung und Integration einschlägiger Spitzentechnologien mit dem Ziel, modernste Maßnahmen zum Risikomanagement im Bereich Cybersicherheit umzusetzen;
    6. Förderung und Weiterentwicklung von Bildung und Ausbildung in den Bereichen Cybersicherheit, Cybersicherheitskompetenzen, Sensibilisierung sowie Forschungs- und Entwicklungsinitiativen und Leitlinien für gute Praktiken und Kontrollen der Cyberhygiene, die sich an Bürger, Interessenträger und Unternehmen richten;
    7. Unterstützung von Hochschulen und Forschungseinrichtungen bei der Entwicklung, Verbesserung und Förderung der Bereitstellung von Cybersicherheitstools und einer sicheren Netzwerkinfrastruktur;
    8. einschließlich einschlägiger Verfahren und geeigneter Instrumente zum Informationsaustausch, um den freiwilligen Austausch von Informationen zur Cybersicherheit zwischen Stellen im Einklang mit dem Unionsrecht zu unterstützen;
    9. Stärkung der Cyberresilienz und der Cyberhygiene-Grundlagen kleiner und mittlerer Unternehmen, insbesondere derjenigen, die vom Anwendungsbereich dieser Richtlinie ausgenommen sind, durch Bereitstellung leicht zugänglicher Leitlinien und Unterstützung für ihre spezifischen Bedürfnisse;
    10. Förderung des aktiven Cyberschutzes.
  3. Die Mitgliedstaaten teilen der Kommission ihre nationalen Cybersicherheitsstrategien innerhalb von drei Monaten nach ihrer Annahme mit. Die Mitgliedstaaten können Informationen, die ihre nationale Sicherheit betreffen, von solchen Mitteilungen ausnehmen.
  4. Die Mitgliedstaaten bewerten ihre nationalen Cybersicherheitsstrategien regelmäßig und mindestens alle fünf Jahre anhand zentraler Leistungsindikatoren und aktualisieren sie bei Bedarf. Die ENISA unterstützt die Mitgliedstaaten auf Anfrage bei der Entwicklung oder Aktualisierung einer nationalen Cybersicherheitsstrategie und der wichtigsten Leistungsindikatoren für die Bewertung dieser Strategie, um sie an die in dieser Richtlinie festgelegten Anforderungen und Verpflichtungen anzupassen.
  1. Jeder Mitgliedstaat benennt oder errichtet eine oder mehrere zuständige Behörden, die für die Cybersicherheit und die in Kapitel VII genannten Aufsichtsaufgaben verantwortlich sind (im Folgenden „zuständige Behörden“).
  2. Die in Absatz 1 genannten zuständigen Behörden überwachen die Umsetzung dieser Richtlinie auf nationaler Ebene.
  3. Jeder Mitgliedstaat benennt oder richtet eine einheitliche Anlaufstelle ein. Benennt oder richtet ein Mitgliedstaat gemäß Absatz 1 nur eine zuständige Behörde ein, so ist diese zuständige Behörde zugleich die einheitliche Anlaufstelle für den betreffenden Mitgliedstaat.
  4. Jede einheitliche Anlaufstelle übt eine Verbindungsfunktion aus, um die grenzüberschreitende Zusammenarbeit der Behörden ihres Mitgliedstaats mit den einschlägigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit der Kommission und der ENISA sowie die sektorübergreifende Zusammenarbeit mit anderen zuständigen Behörden innerhalb ihres Mitgliedstaats sicherzustellen.
  5. Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden und einheitlichen Anlaufstellen über ausreichende Ressourcen verfügen, um die ihnen zugewiesenen Aufgaben wirksam und effizient erfüllen und so die Ziele dieser Richtlinie erreichen zu können.
  6. Jeder Mitgliedstaat teilt der Kommission unverzüglich mit, wer die in Absatz 1 genannte zuständige Behörde und wer die in Absatz 3 genannte einheitliche Anlaufstelle ist, sowie die Aufgaben dieser Behörden und alle diesbezüglichen späteren Änderungen. Jeder Mitgliedstaat macht den Namen seiner zuständigen Behörde öffentlich bekannt. Die Kommission macht eine Liste der einheitlichen Anlaufstellen öffentlich zugänglich.
  1. Jeder Mitgliedstaat benennt oder errichtet eine oder mehrere zuständige Behörden, die für die Bewältigung großer Cybersicherheitsvorfälle und -krisen verantwortlich sind (Cyberkrisenmanagementbehörden). Die Mitgliedstaaten stellen sicher, dass diese Behörden über ausreichende Ressourcen verfügen, um die ihnen zugewiesenen Aufgaben wirksam und effizient erfüllen zu können. Die Mitgliedstaaten stellen die Kohärenz mit den bestehenden Rahmen für das allgemeine nationale Krisenmanagement sicher.
  2. Benennt oder richtet ein Mitgliedstaat gemäß Absatz 1 mehr als eine Behörde für das Cyberkrisenmanagement ein, so gibt er eindeutig an, welche dieser Behörden als Koordinator für die Bewältigung großer Cybersicherheitsvorfälle und -krisen fungieren soll.
  3. Jeder Mitgliedstaat ermittelt die Fähigkeiten, Mittel und Verfahren, die im Krisenfall für die Zwecke dieser Richtlinie eingesetzt werden können.
  4. Jeder Mitgliedstaat verabschiedet einen nationalen Reaktionsplan für große Cybersicherheitsvorfälle und -krisen, in dem die Ziele und Vorkehrungen für die Bewältigung großer Cybersicherheitsvorfälle und -krisen festgelegt sind. In diesem Plan wird insbesondere Folgendes festgelegt:
    1. die Ziele nationaler Vorsorgemaßnahmen und -aktivitäten;
    2. die Aufgaben und Zuständigkeiten der für das Cyberkrisenmanagement zuständigen Behörden;
    3. die Verfahren zum Cyberkrisenmanagement, einschließlich ihrer Einbindung in den allgemeinen nationalen Rahmen für das Krisenmanagement und in die Kanäle zum Informationsaustausch;
    4. nationale Bereitschaftsmaßnahmen, einschließlich Übungen und Ausbildungsaktivitäten;
    5. die relevanten öffentlichen und privaten Interessenträger und die beteiligte Infrastruktur;
    6. nationale Verfahren und Vereinbarungen zwischen den einschlägigen nationalen Behörden und Stellen, um eine wirksame Beteiligung der Mitgliedstaaten an der koordinierten Bewältigung großer Cybersicherheitsvorfälle und -krisen auf Unionsebene und deren Unterstützung sicherzustellen.
  5. Binnen drei Monaten nach der Benennung oder Einrichtung der in Absatz 1 genannten Behörde für das Cyberkrisenmanagement teilt jeder Mitgliedstaat der Kommission die Identität seiner Behörde und alle diesbezüglichen späteren Änderungen mit. Die Mitgliedstaaten übermitteln der Kommission und dem europäischen Netzwerk von Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) relevante Informationen im Zusammenhang mit den Anforderungen des Absatzes 4 zu ihren nationalen Reaktionsplänen für große Cybersicherheitsvorfälle und -krisen binnen drei Monaten nach der Annahme dieser Pläne. Die Mitgliedstaaten können Informationen ausschließen, wenn und soweit dies für ihre nationale Sicherheit erforderlich ist.
  1. Jeder Mitgliedstaat benennt oder richtet ein oder mehrere CSIRTs ein. Die CSIRTs können innerhalb einer zuständigen Behörde benannt oder eingerichtet werden. Die CSIRTs müssen die Anforderungen erfüllen, die in Artikel 11 Absatz 1, muss mindestens die in den Anhängen I und II genannten Sektoren, Teilsektoren und Arten von Einrichtungen abdecken und für die Bewältigung von Sicherheitsvorfällen nach einem genau festgelegten Verfahren verantwortlich sein.
  2. Die Mitgliedstaaten stellen sicher, dass jedes CSIRT über ausreichende Ressourcen verfügt, um seine Aufgaben gemäß Artikel 11 Absatz 3.
  3. Die Mitgliedstaaten stellen sicher, dass jedes CSIRT über eine geeignete, sichere und robuste Kommunikations- und Informationsinfrastruktur verfügt, über die es Informationen mit wichtigen Stellen und anderen relevanten Beteiligten austauschen kann. Zu diesem Zweck stellen die Mitgliedstaaten sicher, dass jedes CSIRT zur Einführung sicherer Instrumente für den Informationsaustausch beiträgt.
  4. Die CSIRTs arbeiten zusammen und tauschen, soweit angemessen, relevante Informationen aus gemäß Artikel 29 mit sektoralen oder sektorübergreifenden Gemeinschaften wesentlicher und wichtiger Einheiten.
  5. Die CSIRTs nehmen an Peer Reviews teil, die gemäß Artikel 19.
  6. Die Mitgliedstaaten gewährleisten die wirksame, effiziente und sichere Zusammenarbeit ihrer CSIRTs im CSIRT-Netzwerk.
  7. Die CSIRTs können Kooperationsbeziehungen mit den nationalen Reaktionsteams für Computersicherheitsvorfälle von Drittländern aufbauen. Im Rahmen solcher Kooperationsbeziehungen erleichtern die Mitgliedstaaten einen wirksamen, effizienten und sicheren Informationsaustausch mit den nationalen Reaktionsteams für Computersicherheitsvorfälle dieser Drittländer unter Verwendung einschlägiger Protokolle für den Informationsaustausch, einschließlich des Ampelprotokolls. Die CSIRTs können mit den nationalen Reaktionsteams für Computersicherheitsvorfälle von Drittländern einschlägige Informationen austauschen, darunter auch personenbezogene Daten gemäß dem Datenschutzrecht der Union.
  8. Die CSIRTs können mit den nationalen Reaktionsteams für Computersicherheitsvorfälle von Drittländern oder entsprechenden Stellen von Drittländern zusammenarbeiten, insbesondere um ihnen Unterstützung im Bereich der Cybersicherheit zu leisten.
  9. Jeder Mitgliedstaat teilt der Kommission unverzüglich die Identität des in Absatz 1 dieses Artikels genannten CSIRT und des gemäß Artikel 12 Absatz 1über ihre jeweiligen Aufgaben im Zusammenhang mit wesentlichen und wichtigen Einheiten sowie über alle späteren Änderungen diesbezüglich.
  10. Die Mitgliedstaaten können die ENISA um Unterstützung bei der Entwicklung ihrer CSIRTs bitten.
  1. Die CSIRTs müssen die folgenden Anforderungen erfüllen:
    1. Die CSIRTs müssen eine hohe Verfügbarkeit ihrer Kommunikationskanäle gewährleisten, indem sie einzelne Ausfallpunkte vermeiden, und müssen über mehrere Möglichkeiten verfügen, jederzeit kontaktiert zu werden und mit anderen in Kontakt zu treten. Sie müssen die Kommunikationskanäle klar spezifizieren und sie den Mitgliedern und Kooperationspartnern bekannt geben.
    2. Die Räumlichkeiten der CSIRTs und die unterstützenden Informationssysteme müssen sich an sicheren Standorten befinden.
    3. Die CSIRTs müssen mit einem geeigneten System zur Verwaltung und Weiterleitung von Anfragen ausgestattet sein, um insbesondere wirksame und effiziente Übergaben zu ermöglichen.
    4. Die CSIRTs müssen die Vertraulichkeit und Vertrauenswürdigkeit ihrer Einsätze gewährleisten.
    5. Die CSIRTs müssen über ausreichend Personal verfügen, um die Verfügbarkeit ihrer Dienste jederzeit zu gewährleisten. Außerdem müssen sie sicherstellen, dass ihr Personal angemessen geschult ist.
    6. Die CSIRTs müssen mit redundanten Systemen und Backup-Arbeitsplätzen ausgestattet sein, um die Kontinuität ihrer Dienste zu gewährleisten.

    Die CSIRTs können an internationalen Kooperationsnetzwerken teilnehmen.

  2. Die Mitgliedstaaten stellen sicher, dass ihre CSIRTs insgesamt über die erforderlichen technischen Kapazitäten verfügen, um die in Absatz 3 genannten Aufgaben ausführen zu können. Die Mitgliedstaaten stellen sicher, dass ihren CSIRTs ausreichende Ressourcen zugewiesen werden, um eine angemessene Personalausstattung sicherzustellen, die es den CSIRTs ermöglicht, ihre technischen Kapazitäten zu entwickeln.
  3.  Die CSIRTs haben folgende Aufgaben:
    1. Überwachung und Analyse von Cyberbedrohungen, Schwachstellen und Vorfällen auf nationaler Ebene und auf Anfrage Unterstützung betroffener wesentlicher und wichtiger Stellen bei der Echtzeit- oder nahezu Echtzeit-Überwachung ihrer Netzwerk- und Informationssysteme;
    2. Bereitstellung von Frühwarnungen, Alarmen, Ankündigungen und Informationsweitergabe zu Cyberbedrohungen, Schwachstellen und Vorfällen an wesentliche und wichtige betroffene Stellen sowie an die zuständigen Behörden und sonstige einschlägige Interessenträger, wenn möglich nahezu in Echtzeit;
    3. Reaktion auf Vorfälle und gegebenenfalls Unterstützung der betroffenen wesentlichen und wichtigen Stellen;
    4. Sammeln und Analysieren forensischer Daten und Bereitstellen dynamischer Risiko- und Vorfallanalysen sowie Lagebewusstsein in Bezug auf Cybersicherheit;
    5. Auf Anfrage einer wesentlichen oder wichtigen Einheit wird ein proaktives Scannen der Netzwerk- und Informationssysteme der betreffenden Einheit durchgeführt, um Schwachstellen mit potenziell erheblichen Auswirkungen zu erkennen;
    6. Teilnahme am CSIRTs-Netzwerk und gegenseitige Unterstützung anderer Mitglieder des CSIRTs-Netzwerks auf Anfrage im Rahmen ihrer Kapazitäten und Kompetenzen;
    7. gegebenenfalls als Koordinator für die Zwecke der koordinierten Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1;
    8. Beitrag zum Einsatz sicherer Instrumente für den Informationsaustausch gemäß Artikel 10 Absatz 3.

    Die CSIRTs können proaktiv und ohne Eingriff öffentlich zugängliche Netzwerk- und Informationssysteme wichtiger und wesentlicher Einrichtungen scannen. Solche Scans werden durchgeführt, um anfällige oder unsicher konfigurierte Netzwerk- und Informationssysteme zu erkennen und die betroffenen Einrichtungen zu informieren. Solche Scans dürfen sich nicht negativ auf die Funktionsfähigkeit der Dienste der Einrichtungen auswirken.

    Bei der Durchführung der in Unterabsatz 1 genannten Aufgaben können die CSIRTs bestimmte Aufgaben auf der Grundlage eines risikobasierten Ansatzes priorisieren.

  4. Um die Ziele dieser Richtlinie zu erreichen, müssen die CSIRTs Kooperationsbeziehungen mit einschlägigen Interessenträgern im privaten Sektor aufbauen.
  5. Um die in Absatz 4 genannte Zusammenarbeit zu erleichtern, fördern die CSIRTs die Annahme und Verwendung gemeinsamer oder standardisierter Verfahren, Klassifizierungssysteme und Taxonomien in Bezug auf:
    1. Verfahren zur Vorfallbehandlung;
    2. Krisenmanagement; und
    3. koordinierte Offenlegung von Schwachstellen unter Artikel 12 Absatz 1.
  1. Jeder Mitgliedstaat benennt eines seiner CSIRTs als Koordinator für die koordinierte Offenlegung von Schwachstellen. Das zum Koordinator ernannte CSIRT fungiert als vertrauenswürdiger Vermittler und erleichtert auf Anfrage einer der Parteien bei Bedarf die Interaktion zwischen der natürlichen oder juristischen Person, die eine Schwachstelle meldet, und dem Hersteller oder Anbieter der potenziell anfälligen IKT-Produkte oder IKT-Dienste. Zu den Aufgaben des zum Koordinator ernannten CSIRT gehören:
    1. Identifizierung und Kontaktaufnahme mit den betreffenden Stellen;
    2. Unterstützung der natürlichen oder juristischen Personen, die eine Schwachstelle melden; und
    3. Aushandeln von Offenlegungszeitplänen und Verwalten von Schwachstellen, die mehrere Einheiten betreffen.

    Die Mitgliedstaaten stellen sicher, dass natürliche und juristische Personen dem als Koordinator benannten CSIRT eine Schwachstelle melden können, und zwar auf Wunsch auch anonym. Das als Koordinator benannte CSIRT stellt sicher, dass hinsichtlich der gemeldeten Schwachstelle sorgfältige Folgemaßnahmen getroffen werden, und stellt die Anonymität der natürlichen oder juristischen Person sicher, die die Schwachstelle meldet. Wenn eine gemeldete Schwachstelle erhebliche Auswirkungen auf Einrichtungen in mehr als einem Mitgliedstaat haben könnte, arbeitet das als Koordinator jedes betroffenen Mitgliedstaats benannte CSIRT gegebenenfalls mit anderen als Koordinatoren benannten CSIRTs innerhalb des CSIRT-Netzwerks zusammen.

  2.  Die ENISA entwickelt und pflegt nach Konsultation der Kooperationsgruppe eine europäische Schwachstellendatenbank. Zu diesem Zweck erstellt und pflegt die ENISA die geeigneten Informationssysteme, Strategien und Verfahren und ergreift die erforderlichen technischen und organisatorischen Maßnahmen, um die Sicherheit und Integrität der europäischen Schwachstellendatenbank zu gewährleisten, insbesondere um es Einrichtungen – unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen – und ihren Anbietern von Netz- und Informationssystemen zu ermöglichen, öffentlich bekannte Schwachstellen in IKT-Produkten oder -Diensten auf freiwilliger Basis offenzulegen und zu registrieren. Alle Beteiligten erhalten Zugang zu den in der europäischen Schwachstellendatenbank enthaltenen Informationen über die Schwachstellen. Diese Datenbank enthält:
    1. Informationen, die die Sicherheitslücke beschreiben;
    2. die betroffenen IKT-Produkte oder IKT-Dienste und die Schwere der Sicherheitsanfälligkeit im Hinblick auf die Umstände, unter denen sie ausgenutzt werden kann;
    3. die Verfügbarkeit entsprechender Patches und, falls keine Patches verfügbar sind, Leitlinien der zuständigen Behörden oder der CSIRTs für die Nutzer anfälliger IKT-Produkte und IKT-Dienste darüber, wie die aus den offengelegten Schwachstellen resultierenden Risiken gemindert werden können.
  1. Handelt es sich um getrennte Bereiche, so arbeiten die zuständigen Behörden, die einheitliche Anlaufstelle und die CSIRTs desselben Mitgliedstaats im Hinblick auf die Erfüllung der in dieser Richtlinie festgelegten Verpflichtungen zusammen.
  2. Die Mitgliedstaaten stellen sicher, dass ihre CSIRTs oder gegebenenfalls ihre zuständigen Behörden Meldungen über bedeutende Vorfälle erhalten gemäß Artikel 23sowie Vorfälle, Cyberbedrohungen und Beinaheunfälle gemäß Artikel 30.
  3. Die Mitgliedstaaten stellen sicher, dass ihre CSIRTs oder gegebenenfalls ihre zuständigen Behörden ihre zentralen Anlaufstellen über gemäß dieser Richtlinie übermittelte Meldungen von Sicherheitsvorfällen, Cyber-Bedrohungen und Beinaheunfällen informieren.
  4. Um zu gewährleisten, dass die Aufgaben und Pflichten der zuständigen Behörden, der einheitlichen Anlaufstellen und der CSIRTs wirksam wahrgenommen werden, sorgen die Mitgliedstaaten im Rahmen des Möglichen für eine angemessene Zusammenarbeit zwischen diesen Stellen und den Strafverfolgungsbehörden, den Datenschutzbehörden, den nationalen Behörden gemäß den Verordnungen (EG) Nr. 300/2008 und (EU) 2018/1139, den Aufsichtsbehörden gemäß der Verordnung (EU) Nr. 910/2014, den zuständigen Behörden gemäß der Verordnung (EU) 2022/2554, den nationalen Regulierungsbehörden gemäß der Richtlinie (EU) 2018/1972, den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2557 sowie den zuständigen Behörden gemäß anderen sektorspezifischen Rechtsakten der Union innerhalb des jeweiligen Mitgliedstaats.
  5. Die Mitgliedstaaten stellen sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden und ihre gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden zusammenarbeiten und regelmäßig Informationen austauschen im Hinblick auf die Ermittlung kritischer Einrichtungen, auf Risiken, Cyberbedrohungen und Cybervorfälle sowie auf nicht cyberbezogene Risiken, Bedrohungen und Vorfälle, von denen Einrichtungen betroffen sind, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen ermittelt wurden, und auf die als Reaktion auf diese Risiken, Bedrohungen und Vorfälle getroffenen Maßnahmen. Die Mitgliedstaaten stellen außerdem sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden und ihre gemäß der Verordnung (EU) Nr. 910/2014, der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2018/1972 zuständigen Behörden regelmäßig sachdienliche Informationen austauschen, auch im Hinblick auf relevante Vorfälle und Cyberbedrohungen.
  6. Die Mitgliedstaaten vereinfachen die Meldung durch technische Mittel für die Meldungen gemäß Artikel 23 Und 30.

Kapitel 3 – Zusammenarbeit auf Unionsebene und internationaler Ebene

  1. Um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu unterstützen und zu erleichtern sowie das Vertrauen zu stärken, wird eine Kooperationsgruppe eingerichtet.
  2. Die Kooperationsgruppe führt ihre Aufgaben auf der Grundlage der in Absatz 7 genannten Zweijahresarbeitsprogramme aus.
  3. Die Kooperationsgruppe setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen. Der Europäische Auswärtige Dienst nimmt als Beobachter an den Tätigkeiten der Kooperationsgruppe teil. Die Europäischen Aufsichtsbehörden (ESA) und die nach der Verordnung (EU) 2022/2554 zuständigen Behörden können gemäß Artikel 47 Absatz 1 jener Verordnung an den Tätigkeiten der Kooperationsgruppe teilnehmen.

    Gegebenenfalls kann die Kooperationsgruppe das Europäische Parlament und Vertreter einschlägiger Interessenträger einladen, an ihrer Arbeit teilzunehmen.

    Die Kommission stellt das Sekretariat zur Verfügung.

  4. Die Kooperationsgruppe hat folgende Aufgaben:
    1. den zuständigen Behörden Orientierungshilfe bei der Umsetzung und Durchführung dieser Richtlinie zu geben;
    2. Bereitstellung von Leitlinien für die zuständigen Behörden im Zusammenhang mit der Entwicklung und Umsetzung von Strategien für die koordinierte Offenlegung von Schwachstellen gemäß Artikel 7 Absatz 2 Buchstabe c;
    3. Austausch bewährter Verfahren und Informationen im Zusammenhang mit der Umsetzung dieser Richtlinie, unter anderem in Bezug auf Cyberbedrohungen, Sicherheitsvorfälle, Schwachstellen, Beinaheunfälle, Sensibilisierungsinitiativen, Schulungen, Übungen und Kompetenzen, Kapazitätsaufbau, Normen und technische Spezifikationen sowie die Ermittlung wesentlicher und wichtiger Einrichtungen gemäß Artikel 2 Absatz 2 Buchstaben b bis e;
    4. um mit der Kommission Ratschläge auszutauschen und bei neuen politischen Initiativen zur Cybersicherheit und der allgemeinen Kohärenz sektorspezifischer Cybersicherheitsanforderungen zusammenzuarbeiten;
    5. Beratung auszutauschen und mit der Kommission bei Entwürfen delegierter Rechtsakte oder Durchführungsrechtsakte, die gemäß dieser Richtlinie erlassen werden, zusammenzuarbeiten;
    6. bewährte Vorgehensweisen und Informationen mit den einschlägigen Organen, Einrichtungen und sonstigen Stellen der Union auszutauschen;
    7. einen Meinungsaustausch über die Umsetzung sektorspezifischer Rechtsakte der Union zu führen, die Bestimmungen zur Cybersicherheit enthalten;
    8. gegebenenfalls Erörterung der Berichte über die in Artikel 19 Absatz 9 genannte Peer Review sowie Ausarbeitung von Schlussfolgerungen und Empfehlungen;
    9. koordinierte Bewertungen der Sicherheitsrisiken kritischer Lieferketten gemäß Artikel 22 Absatz 1 durchzuführen;
    10. Erörterung von Fällen gegenseitiger Amtshilfe, einschließlich der Erfahrungen und Ergebnisse aus grenzübergreifenden gemeinsamen Aufsichtsmaßnahmen gemäß Artikel 37;
    11. auf Ersuchen eines oder mehrerer betroffener Mitgliedstaaten spezifische Amtshilfeersuchen nach Artikel 37 zu erörtern;
    12. Bereitstellung strategischer Beratung für das CSIRTs-Netzwerk und EU-CyCLONe zu spezifischen neu auftretenden Problemen;
    13. einen Meinungsaustausch über die Strategie für Folgemaßnahmen nach Cybersicherheitsvorfällen und -krisen großen Ausmaßes auf der Grundlage der aus dem CSIRTs-Netzwerk und EU-CyCLONe gewonnenen Erfahrungen zu führen;
    14. zur Stärkung der Cybersicherheitskapazitäten in der gesamten Union beizutragen, indem der Austausch nationaler Beamter im Rahmen eines Kapazitätsaufbauprogramms unter Beteiligung von Mitarbeitern der zuständigen Behörden oder der CSIRTs erleichtert wird;
    15. regelmäßige gemeinsame Sitzungen mit einschlägigen privaten Interessenträgern aus der gesamten Union zu organisieren, um die Tätigkeiten der Kooperationsgruppe zu erörtern und Beiträge zu neuen politischen Herausforderungen zu sammeln;
    16. die im Zusammenhang mit Übungen zur Cybersicherheit geleistete Arbeit zu erörtern, einschließlich der von ENISA geleisteten Arbeit;
    17. Festlegung der Methodik und der organisatorischen Aspekte der in Artikel 19 Absatz 1 genannten Peer Reviews sowie Festlegung der Methode zur Selbstbewertung der Mitgliedstaaten gemäß Artikel 19 Absatz 5, mit Unterstützung der Kommission und der ENISA, und Ausarbeitung von Verhaltenskodizes als Grundlage für die Arbeitsmethoden der benannten Cybersicherheitsexperten gemäß Artikel 19 Absatz 6 in Zusammenarbeit mit der Kommission und der ENISA;
    18. Erstellung von Berichten für die in Artikel 40 genannte Überprüfung über die auf strategischer Ebene und aus Peer Reviews gewonnenen Erfahrungen;
    19. den aktuellen Stand von Cyberbedrohungen und -vorfällen, wie etwa Ransomware, zu erörtern und regelmäßig zu bewerten.

    Die Kooperationsgruppe legt der Kommission, dem Europäischen Parlament und dem Rat die in Unterabsatz 1 Buchstabe r genannten Berichte vor.

  5. Die Mitgliedstaaten gewährleisten eine wirksame, effiziente und sichere Zusammenarbeit ihrer Vertreter in der Kooperationsgruppe.
  6. Die Kooperationsgruppe kann beim CSIRTs-Netzwerk einen technischen Bericht zu ausgewählten Themen anfordern.
  7. Bis zum 1. Februar 2024 und danach alle zwei Jahre erstellt die Kooperationsgruppe ein Arbeitsprogramm in Bezug auf die Maßnahmen, die zur Umsetzung ihrer Ziele und Aufgaben zu ergreifen sind.
  8. Die Kommission kann Durchführungsrechtsakte erlassen, in denen die für die Arbeitsweise der Kooperationsgruppe erforderlichen Verfahrensmodalitäten festgelegt werden.

    Diese Durchführungsrechtsakte werden gemäß dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen.

    Die Kommission tauscht gemäß Absatz 4 Buchstabe e Ratschläge mit der Kooperationsgruppe aus und arbeitet mit ihr bei den Entwürfen von Durchführungsrechtsakten gemäß Unterabsatz 1 dieses Absatzes zusammen.

  9. Die Kooperationsgruppe trifft sich regelmäßig und in jedem Fall mindestens einmal jährlich mit der mit der Richtlinie (EU) 2022/2557 eingesetzten Gruppe für die Resilienz kritischer Einrichtungen, um die strategische Zusammenarbeit und den Informationsaustausch zu fördern und zu erleichtern.
  1. Um zur Entwicklung von Vertrauen beizutragen und eine rasche und wirksame operative Zusammenarbeit zwischen den Mitgliedstaaten zu fördern, wird ein Netzwerk nationaler CSIRTs eingerichtet.
  2. Das CSIRT-Netz setzt sich aus Vertretern der gemäß Artikel 10 benannten oder eingerichteten CSIRTs und des Computer-Notfallreaktionsteams der Organe, Einrichtungen und sonstigen Stellen der Union (CERT-EU) zusammen. Die Kommission nimmt als Beobachter am CSIRT-Netz teil. Die ENISA übernimmt das Sekretariat und unterstützt die Zusammenarbeit der CSIRTs aktiv.
  3. Das CSIRTs-Netzwerk soll folgende Aufgaben haben:
    1. um Informationen über die Fähigkeiten der CSIRTs auszutauschen;
    2. die gemeinsame Nutzung, Übertragung und den Austausch von Technologien und relevanten Maßnahmen, Richtlinien, Werkzeugen, Prozessen, bewährten Vorgehensweisen und Rahmenbedingungen zwischen den CSIRTs zu erleichtern;
    3. um relevante Informationen über Vorfälle, Beinaheunfälle, Cyber-Bedrohungen, Risiken und Schwachstellen auszutauschen;
    4. Informationen über Veröffentlichungen und Empfehlungen zur Cybersicherheit auszutauschen;
    5. Gewährleistung der Interoperabilität im Hinblick auf Spezifikationen und Protokolle zum Informationsaustausch;
    6. auf Anfrage eines Mitglieds des CSIRTs-Netzwerks, das möglicherweise von einem Vorfall betroffen ist, Informationen in Bezug auf diesen Vorfall und die damit verbundenen Cyber-Bedrohungen, Risiken und Schwachstellen auszutauschen und zu diskutieren;
    7. auf Ersuchen eines Mitglieds des CSIRT-Netzes eine koordinierte Reaktion auf einen Vorfall zu erörtern und, soweit möglich, umzusetzen, der innerhalb der Gerichtsbarkeit des betreffenden Mitgliedstaats festgestellt wurde;
    8. den Mitgliedstaaten Unterstützung bei der Bewältigung grenzüberschreitender Sicherheitsvorfälle gemäß dieser Richtlinie zu leisten;
    9. Zusammenarbeit, Austausch bewährter Verfahren und Unterstützung der gemäß Artikel 12 Absatz 1 als Koordinatoren benannten CSIRTs im Hinblick auf die Verwaltung der koordinierten Offenlegung von Schwachstellen, die erhebliche Auswirkungen auf Einrichtungen in mehr als einem Mitgliedstaat haben könnten;
    10.  Erörterung und Festlegung weiterer Formen der operativen Zusammenarbeit, unter anderem in Bezug auf:
      1. Kategorien von Cyber-Bedrohungen und -Vorfällen;
      2. Frühwarnungen;
      3. gegenseitige Unterstützung;
      4. Grundsätze und Regelungen für die Koordinierung der Reaktion auf grenzübergreifende Risiken und Vorfälle;
      5. Beitrag zum nationalen Reaktionsplan für große Cybersicherheitsvorfälle und -krisen gemäß Artikel 9 Absatz 4 auf Ersuchen eines Mitgliedstaats;
    11. die Kooperationsgruppe über ihre Tätigkeiten und die gemäß Buchstabe j erörterten weiteren Formen der operativen Zusammenarbeit zu unterrichten und, falls erforderlich, diesbezügliche Leitlinien anzufordern;
    12. eine Bestandsaufnahme der Cybersicherheitsübungen vorzunehmen, einschließlich der von der ENISA organisierten Übungen;
    13. auf Anfrage eines einzelnen CSIRT, um die Fähigkeiten und die Bereitschaft dieses CSIRT zu erörtern;
    14. Zusammenarbeit und Informationsaustausch mit regionalen und auf Unionsebene befindlichen Sicherheitsoperationszentren (SOCs), um ein gemeinsames Lagebewusstsein hinsichtlich Sicherheitsvorfällen und Cyberbedrohungen in der gesamten Union zu verbessern;
    15. gegebenenfalls Erörterung der in Artikel 19 Absatz 9 genannten Peer-Review-Berichte;
    16. Leitlinien bereitzustellen, um die Konvergenz der operativen Vorgehensweisen im Hinblick auf die Anwendung der Bestimmungen dieses Artikels über die operative Zusammenarbeit zu erleichtern.
  4. Bis zum 17. Januar 2025 und danach alle zwei Jahre bewertet das CSIRT-Netzwerk zum Zwecke der Überprüfung nach Artikel 40 die Fortschritte bei der operativen Zusammenarbeit und verabschiedet einen Bericht. Der Bericht enthält insbesondere Schlussfolgerungen und Empfehlungen auf der Grundlage der Ergebnisse der in Artikel 19 genannten Peer Reviews, die in Bezug auf die nationalen CSIRTs durchgeführt werden. Dieser Bericht wird der Kooperationsgruppe vorgelegt.
  5. Das CSIRTs-Netzwerk gibt sich eine Geschäftsordnung.
  6. Das CSIRTs-Netzwerk und EU-CyCLONe einigen sich auf Verfahrensmodalitäten und arbeiten auf dieser Grundlage zusammen.
  1. EU-CyCLONe wurde eingerichtet, um die koordinierte Bewältigung großer Cybersicherheitsvorfälle und -krisen auf operativer Ebene zu unterstützen und den regelmäßigen Austausch relevanter Informationen zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union zu gewährleisten.
  2. EU-CyCLONe setzt sich aus Vertretern der für das Cyber-Krisenmanagement zuständigen Behörden der Mitgliedstaaten sowie – in Fällen, in denen ein potenzieller oder laufender Cybersicherheitsvorfall großen Ausmaßes erhebliche Auswirkungen auf Dienste und Tätigkeiten hat oder haben könnte, die in den Anwendungsbereich dieser Richtlinie fallen – aus der Kommission zusammen. In anderen Fällen nimmt die Kommission als Beobachter an den Tätigkeiten von EU-CyCLONe teil.

    Die ENISA stellt das Sekretariat von EU-CyCLONe bereit, unterstützt den sicheren Informationsaustausch und stellt die notwendigen Instrumente zur Verfügung, um die Zusammenarbeit zwischen den Mitgliedstaaten zu unterstützen und einen sicheren Informationsaustausch zu gewährleisten.

    Gegebenenfalls kann EU-CyCLONe Vertreter einschlägiger Interessenträger einladen, als Beobachter an seiner Arbeit teilzunehmen.

  3. EU-CyCLONe hat folgende Aufgaben:
    1. die Vorbereitung auf große Cybersicherheitsvorfälle und -krisen zu verbessern;
    2. ein gemeinsames Lagebewusstsein für groß angelegte Cybersicherheitsvorfälle und -krisen zu entwickeln;
    3. die Folgen und Auswirkungen relevanter Cybersicherheitsvorfälle und -krisen großen Ausmaßes zu bewerten und mögliche Abhilfemaßnahmen vorzuschlagen;
    4. die Bewältigung großer Cybersicherheitsvorfälle und -krisen zu koordinieren und die Entscheidungsfindung auf politischer Ebene im Zusammenhang mit solchen Vorfällen und Krisen zu unterstützen;
    5. auf Ersuchen eines betroffenen Mitgliedstaats die in Artikel 9 Absatz 4 genannten nationalen Pläne zur Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und zur Krisenbewältigung zu erörtern.
  4. EU-CyCLONe gibt sich eine Geschäftsordnung.
  5. EU-CyCLONe erstattet der Kooperationsgruppe regelmäßig Bericht über die Bewältigung großer Cybersicherheitsvorfälle und -krisen sowie über Trends und legt dabei ein besonderes Augenmerk auf deren Auswirkungen auf wesentliche und wichtige Einrichtungen.
  6. EU-CyCLONe arbeitet mit dem CSIRTs-Netz auf der Grundlage vereinbarter Verfahrensregelungen gemäß Artikel 15 Absatz 6 zusammen.
  7. Bis zum 17. Juli 2024 und danach alle 18 Monate legt EU-CyCLONe dem Europäischen Parlament und dem Rat einen Bericht zur Bewertung seiner Arbeit vor.

Die Union kann gegebenenfalls mit Drittländern oder internationalen Organisationen internationale Abkommen gemäß Artikel 218 AEUV schließen, die deren Teilnahme an bestimmten Tätigkeiten der Kooperationsgruppe, des CSIRTs-Netzes und von EU-CyCLONe ermöglichen und organisieren. Diese Abkommen müssen mit dem Datenschutzrecht der Union im Einklang stehen.

  1. Die ENISA verabschiedet in Zusammenarbeit mit der Kommission und der Kooperationsgruppe alle zwei Jahre einen Bericht über den Stand der Cybersicherheit in der Union und legt diesen Bericht dem Europäischen Parlament vor. Der Bericht wird unter anderem in maschinenlesbarer Form bereitgestellt und enthält Folgendes:
    1. eine Bewertung der Cybersicherheitsrisiken auf Unionsebene unter Berücksichtigung der Cyber-Bedrohungslandschaft;
    2. eine Bewertung der Entwicklung der Cybersicherheitskapazitäten im öffentlichen und privaten Sektor in der gesamten Union;
    3. eine Einschätzung des allgemeinen Bewusstseins für Cybersicherheit und Cyberhygiene bei Bürgern und Unternehmen, einschließlich kleiner und mittlerer Unternehmen;
    4. eine aggregierte Bewertung der Ergebnisse der Peer Reviews gemäß Artikel 19;
    5. eine aggregierte Bewertung des Reifegrads der Fähigkeiten und Ressourcen im Bereich Cybersicherheit in der gesamten Union, auch auf Sektorebene, sowie des Ausmaßes der Abstimmung der nationalen Strategien der Mitgliedstaaten auf diese Cybersicherheit.
  2. Der Bericht enthält konkrete politische Empfehlungen zur Behebung von Mängeln und zur Verbesserung der Cybersicherheit in der gesamten Union sowie eine Zusammenfassung der Ergebnisse der von der ENISA gemäß Artikel 7 Absatz 6 der Verordnung (EU) 2019/881 erstellten technischen Lageberichte zur Cybersicherheit in der EU über Sicherheitsvorfälle und Cyberbedrohungen für den jeweiligen Zeitraum.
  3. Die ENISA entwickelt in Zusammenarbeit mit der Kommission, der Kooperationsgruppe und dem CSIRTs-Netzwerk die Methodik der in Absatz 1 Buchstabe e genannten aggregierten Bewertung, einschließlich der relevanten Variablen wie etwa quantitative und qualitative Indikatoren.
  1. Die Kooperationsgruppe legt am 17. Januar 2025 mit Unterstützung der Kommission und der ENISA sowie gegebenenfalls des CSIRTs-Netzwerks die Methodik und die organisatorischen Aspekte der Peer Reviews fest, um aus gemeinsamen Erfahrungen zu lernen, das gegenseitige Vertrauen zu stärken, ein hohes gemeinsames Niveau der Cybersicherheit zu erreichen und die zur Umsetzung dieser Richtlinie erforderlichen Cybersicherheitskapazitäten und -strategien der Mitgliedstaaten zu verbessern. Die Teilnahme an den Peer Reviews ist freiwillig. Die Peer Reviews werden von Cybersicherheitsexperten durchgeführt. Die Cybersicherheitsexperten werden von mindestens zwei Mitgliedstaaten benannt, die nicht mit dem überprüften Mitgliedstaat identisch sein dürfen.

    Die Peer Reviews müssen mindestens einen der folgenden Punkte abdecken:

    1. der Grad der Umsetzung der in den Artikeln 21 und 22 festgelegten Maßnahmen zum Risikomanagement der Cybersicherheit und der Meldepflichten 23;
    2. das Leistungsniveau, einschließlich der verfügbaren finanziellen, technischen und personellen Ressourcen, und die Wirksamkeit der Wahrnehmung der Aufgaben der zuständigen Behörden;
    3. die operativen Fähigkeiten der CSIRTs;
    4. den Umfang der Umsetzung der in Artikel 37 genannten gegenseitigen Amtshilfe;
    5. den Grad der Umsetzung der in Artikel 29 genannten Regelungen zum Informationsaustausch im Bereich der Cybersicherheit;
    6. spezifische Probleme grenz- oder sektorübergreifender Art.
  2. Die in Absatz 1 genannte Methode umfasst objektive, diskriminierungsfreie, faire und transparente Kriterien, auf deren Grundlage die Mitgliedstaaten Cybersicherheitsexperten benennen, die für die Durchführung der Peer Reviews geeignet sind. Die Kommission und die ENISA nehmen als Beobachter an den Peer Reviews teil.
  3. Die Mitgliedstaaten können für die Zwecke eines Peer Reviews spezifische Aspekte im Sinne von Absatz 1 Buchstabe f ermitteln.
  4. Bevor die Mitgliedstaaten mit einer Peer Review gemäß Absatz 1 beginnen, unterrichten sie die teilnehmenden Mitgliedstaaten über deren Umfang und teilen ihnen dabei auch die gemäß Absatz 3 ermittelten besonderen Aspekte mit.
  5. Vor Beginn der Peer Review können die Mitgliedstaaten eine Selbstbewertung der überprüften Aspekte durchführen und diese den benannten Cybersicherheitsexperten vorlegen. Die Kooperationsgruppe legt mit Unterstützung der Kommission und der ENISA die Methodik für die Selbstbewertung der Mitgliedstaaten fest.
  6. Peer Reviews umfassen physische oder virtuelle Vor-Ort-Besuche und einen Informationsaustausch außerhalb der Räumlichkeiten. Im Einklang mit dem Grundsatz der guten Zusammenarbeit stellt der dem Peer Review unterliegende Mitgliedstaat den benannten Cybersicherheitsexperten die für die Bewertung erforderlichen Informationen zur Verfügung, unbeschadet des Unionsrechts oder des nationalen Rechts zum Schutz vertraulicher oder geheimer Informationen und zur Wahrung wesentlicher staatlicher Funktionen wie der nationalen Sicherheit. Die Kooperationsgruppe entwickelt in Zusammenarbeit mit der Kommission und der ENISA geeignete Verhaltenskodizes als Grundlage für die Arbeitsmethoden der benannten Cybersicherheitsexperten. Alle im Rahmen des Peer Reviews erhaltenen Informationen dürfen ausschließlich für diesen Zweck verwendet werden. Die an dem Peer Review teilnehmenden Cybersicherheitsexperten dürfen keine sensiblen oder vertraulichen Informationen, die sie im Laufe dieses Peer Reviews erhalten haben, an Dritte weitergeben.
  7. Sobald dieselben Aspekte in einem Mitgliedstaat einer Peer Review unterzogen wurden, dürfen sie in den ersten zwei Jahren nach Abschluss der Peer Review in diesem Mitgliedstaat keiner weiteren Peer Review unterzogen werden, es sei denn, der Mitgliedstaat verlangt etwas anderes oder die Kooperationsgruppe hat etwas anderes vorgeschlagen.
  8. Die Mitgliedstaaten stellen sicher, dass etwaige Risiken eines Interessenkonflikts in Bezug auf die benannten Cybersicherheitsexperten den anderen Mitgliedstaaten, der Kooperationsgruppe, der Kommission und der ENISA vor Beginn der Peer Review mitgeteilt werden. Der Mitgliedstaat, der der Peer Review unterzogen wird, kann der Benennung bestimmter Cybersicherheitsexperten aus hinreichend begründeten Gründen, die dem benennenden Mitgliedstaat mitgeteilt werden, widersprechen.
  9. An Peer Reviews teilnehmende Cybersicherheitsexperten erstellen Berichte über die Ergebnisse und Schlussfolgerungen der Peer Reviews. Mitgliedstaaten, die einem Peer Review unterzogen werden, können zu den sie betreffenden Berichtsentwürfen Anmerkungen abgeben, die den Berichten beigefügt werden. Die Berichte enthalten Empfehlungen zur Verbesserung der von dem Peer Review abgedeckten Aspekte. Die Berichte werden gegebenenfalls der Kooperationsgruppe und dem CSIRTs-Netzwerk vorgelegt. Ein Mitgliedstaat, der einem Peer Review unterzogen wird, kann beschließen, seinen Bericht oder eine redigierte Fassung davon öffentlich zugänglich zu machen.
  1. Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung des Artikels 21 getroffenen Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit genehmigen, deren Umsetzung überwachen und für Verstöße der Einrichtungen gegen diesen Artikel haftbar gemacht werden können.
      Die Anwendung dieses Absatzes erfolgt unbeschadet der nationalen Rechtsvorschriften hinsichtlich der Haftungsregeln für öffentliche Einrichtungen sowie der Haftung von öffentlichen Bediensteten und gewählten oder ernannten Beamten.
  2. Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Unternehmen verpflichtet sind, an Schulungen teilzunehmen, und ermutigen wesentliche und wichtige Unternehmen, ihren Mitarbeitern regelmäßig ähnliche Schulungen anzubieten, damit diese ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken zu erkennen und Praktiken des Risikomanagements im Bereich der Cybersicherheit sowie deren Auswirkungen auf die von dem Unternehmen erbrachten Dienstleistungen zu bewerten.

Kapitel 4 – Maßnahmen zum Risikomanagement im Bereich Cybersicherheit und Meldepflichten

  1. Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung des Artikels 21 getroffenen Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit genehmigen, deren Umsetzung überwachen und für Verstöße der Einrichtungen gegen diesen Artikel haftbar gemacht werden können.
      Die Anwendung dieses Absatzes erfolgt unbeschadet der nationalen Rechtsvorschriften hinsichtlich der Haftungsregeln für öffentliche Einrichtungen sowie der Haftung von öffentlichen Bediensteten und gewählten oder ernannten Beamten.
  2. Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Unternehmen verpflichtet sind, an Schulungen teilzunehmen, und ermutigen wesentliche und wichtige Unternehmen, ihren Mitarbeitern regelmäßig ähnliche Schulungen anzubieten, damit diese ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken zu erkennen und Praktiken des Risikomanagements im Bereich der Cybersicherheit sowie deren Auswirkungen auf die von dem Unternehmen erbrachten Dienstleistungen zu bewerten.
  1. Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen für ihren Betrieb oder die Bereitstellung ihrer Dienste nutzen, und um die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder zu minimieren.

    Unter Berücksichtigung des neuesten Stands der Technik und gegebenenfalls der einschlägigen europäischen und internationalen Normen sowie der Kosten ihrer Umsetzung müssen die in Unterabsatz 1 genannten Maßnahmen ein den Risiken angemessenes Sicherheitsniveau für Netz- und Informationssysteme gewährleisten. Bei der Beurteilung der Verhältnismäßigkeit dieser Maßnahmen werden das Ausmaß der Risikoexposition der Einrichtung, ihre Größe sowie die Wahrscheinlichkeit des Auftretens von Sicherheitsvorfällen und deren Schwere, einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen, gebührend berücksichtigt.

  2. Die in Absatz 1 genannten Maßnahmen basieren auf einem alle Gefahren berücksichtigenden Ansatz, der darauf abzielt, Netz- und Informationssysteme sowie die physische Umgebung dieser Systeme vor Sicherheitsvorfällen zu schützen, und umfassen mindestens Folgendes:
    1. Richtlinien zur Risikoanalyse und Informationssystemsicherheit;
    2. Vorfallbehandlung;
    3. Geschäftskontinuität, wie z. B. Backup-Management, Notfallwiederherstellung und Krisenmanagement;
    4. Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte im Zusammenhang mit den Beziehungen zwischen den einzelnen Unternehmen und ihren direkten Lieferanten oder Dienstleistern;
    5. Sicherheit bei der Anschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen, einschließlich der Handhabung und Offenlegung von Schwachstellen;
    6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Risikomanagement im Bereich Cybersicherheit;
    7. grundlegende Schulungen zur Cyberhygiene und Cybersicherheit;
    8. Richtlinien und Verfahren in Bezug auf die Verwendung von Kryptografie und gegebenenfalls Verschlüsselung;
    9. Personalsicherheit, Zugriffskontrollrichtlinien und Vermögensverwaltung;
    10. die Verwendung von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen, gesicherter Sprach-, Video- und Textkommunikation und gesicherter Notfallkommunikationssysteme innerhalb des Unternehmens, sofern angemessen.
  3. Die Mitgliedstaaten stellen sicher, dass die Stellen bei der Prüfung der Angemessenheit der in Absatz 2 Buchstabe d dieses Artikels genannten Maßnahmen die spezifischen Schwachstellen jedes direkten Lieferanten und Dienstanbieters sowie die allgemeine Produktqualität und Cybersicherheitspraktiken ihrer Lieferanten und Dienstanbieter, einschließlich ihrer sicheren Entwicklungsverfahren, berücksichtigen. Die Mitgliedstaaten stellen außerdem sicher, dass die Stellen bei der Prüfung der Angemessenheit der in diesem Buchstaben genannten Maßnahmen die Ergebnisse der gemäß Artikel 22 Absatz 1 durchgeführten koordinierten Bewertungen der Sicherheitsrisiken kritischer Lieferketten berücksichtigen müssen.
  4. Die Mitgliedstaaten stellen sicher, dass ein Unternehmen, das feststellt, dass es die in Absatz 2 vorgesehenen Maßnahmen nicht einhält, unverzüglich alle notwendigen, geeigneten und verhältnismäßigen Korrekturmaßnahmen ergreift.
  5. Bis zum 17. Oktober 2024 erlässt die Kommission Durchführungsrechtsakte zur Festlegung der technischen und methodischen Anforderungen an die in Absatz 2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, TLD-Namensregister, Cloud-Computing-Dienstleister, Rechenzentrumsdienstleister, Anbieter von Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke sowie Vertrauensdiensteanbieter.

    Die Kommission kann Durchführungsrechtsakte erlassen, in denen die technischen und methodischen Anforderungen sowie erforderlichenfalls auch die sektoralen Anforderungen an die in Absatz 2 genannten Maßnahmen im Hinblick auf andere wesentliche und wichtige Einrichtungen als die im ersten Unterabsatz dieses Absatzes genannten festgelegt werden.

    Bei der Ausarbeitung der in den Unterabsätzen 1 und 2 dieses Absatzes genannten Durchführungsrechtsakte befolgt die Kommission so weit wie möglich europäische und internationale Normen sowie einschlägige technische Spezifikationen. Die Kommission berät und arbeitet gemäß Artikel 14 Absatz 4 Buchstabe e mit der Kooperationsgruppe und der ENISA an den Entwürfen von Durchführungsrechtsakten zusammen.

    Diese Durchführungsrechtsakte werden gemäß dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen.

  1. Die Kooperationsgruppe kann in Zusammenarbeit mit der Kommission und der ENISA koordinierte Sicherheitsrisikobewertungen bestimmter kritischer IKT-Dienste, IKT-Systeme oder Lieferketten für IKT-Produkte durchführen und dabei technische und gegebenenfalls nichttechnische Risikofaktoren berücksichtigen.
  2. Die Kommission ermittelt nach Konsultation der Kooperationsgruppe und der ENISA sowie erforderlichenfalls der einschlägigen Interessenträger die spezifischen kritischen IKT-Dienste, IKT-Systeme und IKT-Produkte, die Gegenstand der koordinierten Bewertung der Sicherheitsrisiken gemäß Absatz 1 sein können.
  1. Jeder Mitgliedstaat stellt sicher, dass wesentliche und wichtige Einrichtungen ihr CSIRT oder gegebenenfalls ihre zuständige Behörde gemäß Absatz 4 unverzüglich über alle Vorfälle informieren, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste im Sinne von Absatz 3 haben (erheblicher Vorfall). Gegebenenfalls melden die betreffenden Einrichtungen den Empfängern ihrer Dienste unverzüglich erhebliche Vorfälle, die sich wahrscheinlich nachteilig auf die Bereitstellung dieser Dienste auswirken. Jeder Mitgliedstaat stellt sicher, dass diese Einrichtungen unter anderem alle Informationen melden, die es dem CSIRT oder gegebenenfalls der zuständigen Behörde ermöglichen, etwaige grenzüberschreitende Auswirkungen des Vorfalls festzustellen. Durch die bloße Meldung entsteht für die meldende Einrichtung keine erhöhte Haftung.

    Melden die betreffenden Stellen der zuständigen Behörde ein bedeutendes Sicherheitsvorfall gemäß Unterabsatz 1, so stellt der Mitgliedstaat sicher, dass die zuständige Behörde die Meldung nach Erhalt an das CSIRT weiterleitet.

    Im Falle eines grenz- oder sektorübergreifenden bedeutenden Sicherheitsvorfalls stellen die Mitgliedstaaten sicher, dass ihre einheitlichen Anlaufstellen rechtzeitig mit den gemäß Absatz 4 gemeldeten relevanten Informationen versorgt werden.

  2. Gegebenenfalls stellen die Mitgliedstaaten sicher, dass wesentliche und wichtige Einrichtungen den potenziell von einer erheblichen Cyberbedrohung betroffenen Nutzern ihrer Dienste unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mitteilen, die diese Nutzer als Reaktion auf diese Bedrohung ergreifen können. Gegebenenfalls informieren die Einrichtungen diese Nutzer auch über die erhebliche Cyberbedrohung selbst.
  3. Ein Vorfall gilt als erheblich, wenn:
    1. es hat zu einer schweren Betriebsstörung der Dienste oder zu einem finanziellen Schaden für die betroffene Stelle geführt oder ist dazu in der Lage;
    2. sie hat andere natürliche oder juristische Personen durch die Verursachung eines erheblichen materiellen oder immateriellen Schadens beeinträchtigt oder kann dies tun.
  4. Die Mitgliedstaaten stellen sicher, dass die betreffenden Stellen zum Zwecke der Meldung gemäß Absatz 1 dem CSIRT oder gegebenenfalls der zuständigen Behörde Folgendes vorlegen:
    1. unverzüglich und in jedem Fall binnen 24 Stunden nach Kenntniserlangung von dem bedeutenden Sicherheitsvorfall eine Frühwarnung, aus der gegebenenfalls hervorgeht, ob der Verdacht besteht, dass der bedeutende Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
    2. unverzüglich, in jedem Fall aber binnen 72 Stunden, nachdem der bedeutende Sicherheitsvorfall bekannt wurde, eine Meldung des Sicherheitsvorfalls, in der gegebenenfalls die in Punkt a genannten Informationen aktualisiert werden und eine erste Einschätzung des bedeutenden Sicherheitsvorfalls, einschließlich seiner Schwere und seiner Auswirkungen, sowie – sofern verfügbar – die Indikatoren für eine Gefährdung angegeben werden;
    3. auf Anfrage eines CSIRT oder gegebenenfalls der zuständigen Behörde einen Zwischenbericht über relevante Statusaktualisierungen;
    4. spätestens einen Monat nach Vorlage der Meldung des Vorfalls gemäß Buchstabe b einen Abschlussbericht mit folgendem Inhalt:
        1. eine detaillierte Beschreibung des Vorfalls, einschließlich seiner Schwere und Auswirkungen;
        2. die Art der Bedrohung oder die Grundursache, die den Vorfall wahrscheinlich ausgelöst hat;
        3. angewandte und laufende Minderungsmaßnahmen;
        4. gegebenenfalls die grenzüberschreitenden Auswirkungen des Vorfalls;
    5. Sollte es sich zum Zeitpunkt der Vorlage des in Buchstabe d genannten Abschlussberichts um einen noch nicht abgeschlossenen Vorfall handeln, stellen die Mitgliedstaaten sicher, dass die betreffenden Stellen zu diesem Zeitpunkt einen Fortschrittsbericht und innerhalb eines Monats nach der Bearbeitung des Vorfalls einen Abschlussbericht vorlegen.

    Abweichend von Unterabsatz 1 Buchstabe b meldet ein Vertrauensdiensteanbieter bedeutende Vorfälle, die Auswirkungen auf die Erbringung seiner Vertrauensdienste haben, unverzüglich und in jedem Fall binnen 24 Stunden, nachdem ihm der bedeutende Vorfall bekannt wurde, dem CSIRT oder gegebenenfalls der zuständigen Behörde.

  5. Das CSIRT oder die zuständige Behörde übermittelt der meldenden Stelle unverzüglich und wenn möglich binnen 24 Stunden nach Eingang der in Absatz 4 Buchstabe a genannten Frühwarnung eine Antwort, die eine erste Rückmeldung zu dem bedeutenden Sicherheitsvorfall und auf Anfrage der Stelle Leitlinien oder operative Ratschläge zur Umsetzung möglicher Risikominderungsmaßnahmen umfasst. Ist das CSIRT nicht der ursprüngliche Empfänger der in Absatz 1 genannten Meldung, werden die Leitlinien von der zuständigen Behörde in Zusammenarbeit mit dem CSIRT bereitgestellt. Auf Anfrage der betreffenden Stelle stellt das CSIRT zusätzliche technische Unterstützung bereit. Wenn der Verdacht besteht, dass es sich bei dem bedeutenden Sicherheitsvorfall um einen kriminellen Vorfall handelt, stellt das CSIRT oder die zuständige Behörde auch Leitlinien zur Meldung des bedeutenden Sicherheitsvorfalls an die Strafverfolgungsbehörden bereit.
  6. Gegebenenfalls und insbesondere wenn der bedeutende Sicherheitsvorfall zwei oder mehr Mitgliedstaaten betrifft, unterrichtet das CSIRT, die zuständige Behörde oder die zentrale Anlaufstelle unverzüglich die anderen betroffenen Mitgliedstaaten und die ENISA über den bedeutenden Sicherheitsvorfall. Diese Unterrichtung umfasst die Art der gemäß Absatz 4 erhaltenen Informationen. Dabei wahrt das CSIRT, die zuständige Behörde oder die zentrale Anlaufstelle im Einklang mit dem Unionsrecht oder dem nationalen Recht die Sicherheit und die geschäftlichen Interessen der Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen.
  7. Wenn die Sensibilisierung der Öffentlichkeit erforderlich ist, um einen bedeutenden Sicherheitsvorfall zu verhüten oder einen laufenden bedeutenden Sicherheitsvorfall zu bewältigen, oder wenn die Bekanntgabe des bedeutenden Sicherheitsvorfalls aus anderen Gründen im öffentlichen Interesse liegt, können das CSIRT eines Mitgliedstaats oder gegebenenfalls dessen zuständige Behörde und gegebenenfalls die CSIRTs oder die zuständigen Behörden anderer betroffener Mitgliedstaaten nach Konsultation der betroffenen Stelle die Öffentlichkeit über den bedeutenden Sicherheitsvorfall informieren oder die Stelle dazu auffordern.
  8. Auf Anfrage des CSIRT oder der zuständigen Behörde leitet die einheitliche Anlaufstelle gemäß Absatz 1 eingegangene Meldungen an die einheitlichen Anlaufstellen anderer betroffener Mitgliedstaaten weiter.
  9. Die zentrale Anlaufstelle übermittelt der ENISA alle drei Monate einen zusammenfassenden Bericht, der anonymisierte und aggregierte Daten zu bedeutenden Sicherheitsvorfällen, Sicherheitsvorfällen, Cyberbedrohungen und Beinaheunfällen enthält, die gemäß Absatz 1 dieses Artikels und gemäß Artikel 30 gemeldet wurden. Um zur Bereitstellung vergleichbarer Informationen beizutragen, kann die ENISA technische Leitlinien zu den Parametern der in den zusammenfassenden Bericht aufzunehmenden Informationen annehmen. Die ENISA informiert die Kooperationsgruppe und das CSIRTs-Netzwerk alle sechs Monate über ihre Ergebnisse zu den eingegangenen Meldungen.
  10. Die CSIRTs oder gegebenenfalls die zuständigen Behörden übermitteln den zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2557 Informationen über bedeutende Sicherheitsvorfälle, Sicherheitsvorfälle, Cyberbedrohungen und Beinaheunfälle, die gemäß Absatz 1 dieses Artikels und gemäß Artikel 30 von Einrichtungen gemeldet wurden, die im Rahmen der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden.
  11. Die Kommission kann Durchführungsrechtsakte erlassen, in denen die Art der Informationen, das Format und das Verfahren einer gemäß Absatz 1 dieses Artikels und gemäß Artikel 30 übermittelten Meldung sowie einer gemäß Absatz 2 dieses Artikels übermittelten Mitteilung näher festgelegt werden.

    Bis zum 17. Oktober 2024 erlässt die Kommission in Bezug auf DNS-Dienstanbieter, TLD-Namensregister, Cloud-Computing-Dienstanbieter, Rechenzentrumsdienstanbieter, Anbieter von Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste Durchführungsrechtsakte, in denen die Fälle näher festgelegt werden, in denen ein Vorfall als bedeutend im Sinne von Absatz 3 gilt. Die Kommission kann solche Durchführungsrechtsakte in Bezug auf andere wesentliche und wichtige Einrichtungen erlassen.

    Die Kommission tauscht gemäß Artikel 14 Absatz 4 Buchstabe e Ratschläge mit der Kooperationsgruppe aus und arbeitet mit ihr bei den Entwürfen von Durchführungsrechtsakten gemäß den Unterabsätzen 1 und 2 dieses Absatzes zusammen.

    Diese Durchführungsrechtsakte werden gemäß dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen.

  1. Um die Einhaltung bestimmter Anforderungen des Artikels 21 nachzuweisen, können die Mitgliedstaaten wesentliche und wichtige Einrichtungen verpflichten, bestimmte IKT-Produkte, -Dienste und -Prozesse zu verwenden, die von der wesentlichen oder wichtigen Einrichtung entwickelt oder von Dritten beschafft wurden und die im Rahmen der gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommenen europäischen Systeme zur Cybersicherheitszertifizierung zertifiziert sind. Darüber hinaus ermutigen die Mitgliedstaaten wesentliche und wichtige Einrichtungen, qualifizierte Vertrauensdienste zu verwenden.
  2. Der Kommission wird die Befugnis übertragen, gemäß Artikel 38 delegierte Rechtsakte zur Ergänzung dieser Richtlinie zu erlassen, in denen festgelegt wird, welche Kategorien wesentlicher und wichtiger Einrichtungen verpflichtet sind, bestimmte zertifizierte IKT-Produkte, -Dienste und -Prozesse zu verwenden oder ein Zertifikat im Rahmen eines gemäß Artikel 49 der Verordnung (EU) 2019/881 angenommenen europäischen Systems zur Cybersicherheitszertifizierung zu erwerben. Diese delegierten Rechtsakte werden erlassen, wenn ein unzureichendes Maß an Cybersicherheit festgestellt wurde, und enthalten eine Umsetzungsfrist.

    Vor dem Erlass solcher delegierten Rechtsakte führt die Kommission eine Folgenabschätzung durch und führt Konsultationen gemäß Artikel 56 der Verordnung (EU) 2019/881 durch.

  3. Wenn kein geeignetes europäisches System für die Cybersicherheitszertifizierung im Sinne des Absatzes 2 dieses Artikels verfügbar ist, kann die Kommission nach Konsultation der Kooperationsgruppe und der europäischen Gruppe für die Cybersicherheitszertifizierung die ENISA ersuchen, gemäß Artikel 48 Absatz 2 der Verordnung (EU) 2019/881 ein mögliches System auszuarbeiten.
  1. Um eine einheitliche Umsetzung von Artikel 21 Absätze 1 und 2 zu fördern, unterstützen die Mitgliedstaaten die Verwendung europäischer und internationaler Normen und technischer Spezifikationen für die Sicherheit von Netz- und Informationssystemen, ohne die Verwendung einer bestimmten Technologie vorzuschreiben oder zu bevorzugen.
  2. Die ENISA erstellt in Zusammenarbeit mit den Mitgliedstaaten und gegebenenfalls nach Konsultation der einschlägigen Interessenträger Empfehlungen und Leitlinien zu den im Zusammenhang mit Absatz 1 zu berücksichtigenden technischen Bereichen sowie zu bereits bestehenden Normen – auch nationalen Normen –, die eine Abdeckung dieser Bereiche ermöglichen würden.

Kapitel 5 – Gerichtsstand und Registrierung

  1. Unternehmen, die in den Anwendungsbereich dieser Richtlinie fallen, unterliegen der Rechtsordnung des Mitgliedstaats, in dem sie niedergelassen sind, außer in den folgenden Fällen:
    1. Anbieter öffentlicher elektronischer Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste; diese unterliegen der Rechtshoheit des Mitgliedstaats, in dem sie ihre Dienste anbieten;
    2. Anbieter von DNS-Diensten, TLD-Namensregistern, Unternehmen, die Dienste zur Registrierung von Domänennamen anbieten, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Content-Delivery-Networks, Managed Service Provider, Anbieter von Managed Security-Diensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für soziale Netzwerkdienste, die gemäß Absatz 2 der Rechtshoheit des Mitgliedstaats unterliegen, in dem sie ihre Hauptniederlassung in der Union haben;
    3. Einrichtungen der öffentlichen Verwaltung, die der Gerichtsbarkeit des Mitgliedstaats unterliegen, in dem sie eingerichtet wurden.
  2. Für die Zwecke dieser Richtlinie wird davon ausgegangen, dass eine Einrichtung im Sinne von Absatz 1 Buchstabe b ihre Hauptniederlassung in dem Mitgliedstaat der Union hat, in dem die Entscheidungen im Zusammenhang mit den Risikomanagementmaßnahmen für die Cybersicherheit überwiegend getroffen werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden oder werden derartige Entscheidungen nicht in der Union getroffen, gilt die Hauptniederlassung als in dem Mitgliedstaat befindlich, in dem die Cybersicherheitsmaßnahmen durchgeführt werden. Kann ein solcher Mitgliedstaat nicht bestimmt werden, gilt die Hauptniederlassung als in dem Mitgliedstaat befindlich, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Beschäftigtenzahl in der Union hat.
  3. Wenn eine in Absatz 1 Buchstabe b genannte Einrichtung nicht in der Union niedergelassen ist, aber Dienstleistungen innerhalb der Union anbietet, muss sie einen Vertreter in der Union benennen. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die Dienstleistungen angeboten werden. Eine solche Einrichtung unterliegt der Gerichtsbarkeit des Mitgliedstaats, in dem der Vertreter niedergelassen ist. Wenn in der Union kein gemäß diesem Absatz benannter Vertreter vorhanden ist, kann jeder Mitgliedstaat, in dem die Einrichtung Dienstleistungen erbringt, rechtliche Schritte gegen die Einrichtung wegen Verstoßes gegen diese Richtlinie einleiten.
  4. Die Benennung eines Vertreters durch eine Einrichtung gemäß Absatz 1 Buchstabe b erfolgt unbeschadet etwaiger rechtlicher Schritte gegen die Einrichtung selbst.
  5. Mitgliedstaaten, die ein Amtshilfeersuchen in Bezug auf eine Einrichtung im Sinne von Absatz 1 Buchstabe b erhalten haben, können im Rahmen dieses Ersuchens geeignete Aufsichtsmaßnahmen und Durchsetzungsmaßnahmen in Bezug auf die betreffende Einrichtung ergreifen, die in ihrem Hoheitsgebiet Dienste erbringt oder über ein Netz und Informationssystem verfügt.
  1. Die ENISA erstellt und pflegt ein Register der DNS-Dienstanbieter, TLD-Namensregister, Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten, Cloud-Computing-Dienstanbieter, Datenzentrumsdienstleister, Anbieter von Content-Delivery-Networks, Managed Service Provider, Managed Security Service Provider sowie der Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerkdienste. Dabei stützt sie sich auf die Informationen, die sie von den einheitlichen Anlaufstellen gemäß Absatz 4 erhält. Auf Anfrage gewährt die ENISA den zuständigen Behörden Zugriff auf dieses Register, stellt dabei aber gegebenenfalls sicher, dass die Vertraulichkeit der Informationen gewahrt wird.
  2. Die Mitgliedstaaten verpflichten die in Absatz 1 genannten Unternehmen, den zuständigen Behörden bis zum 17. Januar 2025 folgende Informationen vorzulegen:
    1. der Name der Entität;
    2. den einschlägigen Sektor, Teilsektor und die Art der Einrichtung gemäß Anhang I oder II, sofern zutreffend;
    3. die Anschrift der Hauptniederlassung der Einrichtung und ihrer weiteren Niederlassungen in der Union oder, sofern die Einrichtung nicht in der Union niedergelassen ist, ihres gemäß Artikel 26 Absatz 3 benannten Vertreters;
    4. aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern, der Stelle und gegebenenfalls ihres gemäß Artikel 26 Absatz 3 benannten Vertreters;
    5. die Mitgliedstaaten, in denen die Einrichtung Dienstleistungen erbringt; und
    6. die IP-Bereiche der Entität.
  3. Die Mitgliedstaaten stellen sicher, dass die in Absatz 1 genannten Stellen der zuständigen Behörde etwaige Änderungen der gemäß Absatz 2 übermittelten Informationen unverzüglich und in jedem Fall innerhalb von drei Monaten nach dem Zeitpunkt der Änderung mitteilen.
  4. Nach Erhalt der in den Absätzen 2 und 3 genannten Informationen – mit Ausnahme der in Absatz 2 Buchstabe f genannten Informationen – leitet die einheitliche Anlaufstelle des betreffenden Mitgliedstaats diese unverzüglich an die ENISA weiter.
  5. Gegebenenfalls werden die in den Absätzen 2 und 3 dieses Artikels genannten Informationen über den in Artikel 3 Absatz 4 Unterabsatz 4 genannten nationalen Mechanismus übermittelt.
  1. Um zur Sicherheit, Stabilität und Belastbarkeit des DNS beizutragen, verpflichten die Mitgliedstaaten die TLD-Namensregister und Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten, genaue und vollständige Domänennamen-Registrierungsdaten zu erfassen und in einer speziellen Datenbank zu pflegen und dabei die mit der gebotenen Sorgfalt gemäß dem Datenschutzrecht der Union erfolgende Behandlung personenbezogener Daten zu beachten.
  2. Für die Zwecke von Absatz 1 schreiben die Mitgliedstaaten vor, dass die Datenbank mit Domänennamen-Registrierungsdaten die notwendigen Informationen enthält, um die Inhaber der Domänennamen und die Kontaktstellen, die die Domänennamen unter den TLDs verwalten, zu identifizieren und zu kontaktieren. Zu diesen Informationen gehören:
    1. der Domänenname;
    2. das Datum der Registrierung;
    3. Name, E-Mail-Adresse und Telefonnummer des Registranten;
    4. die Kontakt-E-Mail-Adresse und Telefonnummer des Ansprechpartners, der den Domänennamen verwaltet, falls diese von denen des Registranten abweichen.
  3. Die Mitgliedstaaten schreiben vor, dass die TLD-Namensregister und die Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten, über Strategien und Verfahren, einschließlich Überprüfungsverfahren, verfügen, um sicherzustellen, dass die in Absatz 1 genannten Datenbanken genaue und vollständige Informationen enthalten. Die Mitgliedstaaten schreiben vor, dass diese Strategien und Verfahren öffentlich zugänglich gemacht werden.
  4. Die Mitgliedstaaten verpflichten die TLD-Namensregister und die Stellen, die Dienste zur Registrierung von Domänennamen anbieten, dazu, die Domänennamen-Registrierungsdaten, bei denen es sich nicht um personenbezogene Daten handelt, unverzüglich nach der Registrierung eines Domänennamens öffentlich zugänglich zu machen.
  5. Die Mitgliedstaaten verpflichten die TLD-Namensregister und die Einrichtungen, die Domänennamen-Registrierungsdienste anbieten, auf rechtmäßige und hinreichend begründete Anfragen von legitimen Zugangsinteressenten gemäß dem Datenschutzrecht der Union Zugang zu bestimmten Domänennamen-Registrierungsdaten zu gewähren. Die Mitgliedstaaten verpflichten die TLD-Namensregister und die Einrichtungen, die Domänennamen-Registrierungsdienste anbieten, unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Zugangsantrags zu antworten. Die Mitgliedstaaten schreiben vor, dass Strategien und Verfahren im Hinblick auf die Offenlegung solcher Daten öffentlich zugänglich gemacht werden.
  6. Die Einhaltung der in den Absätzen 1 bis 5 festgelegten Verpflichtungen darf nicht dazu führen, dass Domänennamen-Registrierungsdaten doppelt erhoben werden. Zu diesem Zweck verpflichten die Mitgliedstaaten die TLD-Namensregister und die Stellen, die Domänennamen-Registrierungsdienste anbieten, miteinander zusammenzuarbeiten.

Kapitel 6 – Informationsaustausch

  1. Die Mitgliedstaaten stellen sicher, dass Einrichtungen, die in den Anwendungsbereich dieser Richtlinie fallen, und gegebenenfalls andere Einrichtungen, die nicht in den Anwendungsbereich dieser Richtlinie fallen, auf freiwilliger Basis relevante Informationen zur Cybersicherheit untereinander austauschen können. Dazu gehören Informationen über Cyberbedrohungen, Beinaheunfälle, Schwachstellen, Techniken und Verfahren, Indikatoren für eine Kompromittierung, gegnerische Taktiken, spezifische Informationen zu Bedrohungsakteuren, Cybersicherheitswarnungen und Empfehlungen zur Konfiguration von Cybersicherheitstools zur Erkennung von Cyberangriffen, sofern dieser Informationsaustausch:
    1. zielt darauf ab, Vorfälle zu verhindern, zu erkennen, darauf zu reagieren, sich von ihnen zu erholen oder ihre Auswirkungen zu mildern;
    2. verbessert die Cybersicherheit, insbesondere durch die Sensibilisierung für Cyberbedrohungen, die Begrenzung oder Behinderung der Ausbreitung solcher Bedrohungen, die Unterstützung einer Reihe von Abwehrfähigkeiten, die Behebung und Offenlegung von Schwachstellen, Techniken zur Bedrohungserkennung, -eindämmung und -vorbeugung, Risikominderungsstrategien oder Reaktions- und Wiederherstellungsphasen oder die Förderung der gemeinsamen Erforschung von Cyberbedrohungen durch öffentliche und private Einrichtungen.
  2. Die Mitgliedstaaten stellen sicher, dass der Informationsaustausch innerhalb von Gemeinschaften wesentlicher und wichtiger Einrichtungen sowie gegebenenfalls ihrer Lieferanten oder Dienstleister stattfindet. Dieser Austausch erfolgt im Rahmen von Vereinbarungen zum Informationsaustausch im Bereich der Cybersicherheit, wobei dem potenziell sensiblen Charakter der ausgetauschten Informationen Rechnung getragen wird.
  3. Die Mitgliedstaaten erleichtern die Einrichtung von Vereinbarungen zum Informationsaustausch im Bereich der Cybersicherheit gemäß Absatz 2 dieses Artikels. Diese Vereinbarungen können operative Elemente, einschließlich der Verwendung spezieller IKT-Plattformen und Automatisierungstools, sowie Inhalt und Bedingungen der Vereinbarungen zum Informationsaustausch festlegen. Bei der Festlegung der Einzelheiten der Beteiligung der Behörden an diesen Vereinbarungen können die Mitgliedstaaten Bedingungen für die von den zuständigen Behörden oder den CSIRTs zur Verfügung gestellten Informationen festlegen. Die Mitgliedstaaten bieten Unterstützung bei der Anwendung dieser Vereinbarungen im Einklang mit ihren in Absatz 2 genannten Strategien an. Artikel 7 Absatz 2, Buchstabe h.
  4. Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen den zuständigen Behörden ihre Teilnahme an den in Absatz 2 genannten Vereinbarungen zum Informationsaustausch im Bereich der Cybersicherheit bei Abschluss solcher Vereinbarungen bzw. ihren Ausstieg aus solchen Vereinbarungen melden, sobald der Ausstieg wirksam wird.
  5. Die ENISA leistet Unterstützung bei der Einrichtung von Regelungen für den Informationsaustausch im Bereich der Cybersicherheit gemäß Absatz 2, indem sie bewährte Verfahren austauscht und Leitlinien bereitstellt.
  1. Die Mitgliedstaaten stellen sicher, dass zusätzlich zu der Meldepflicht gemäß Artikel 23 Meldungen an die CSIRTs oder gegebenenfalls an die zuständigen Behörden auf freiwilliger Basis wie folgt erfolgen können:
    1. wesentliche und wichtige Stellen im Hinblick auf Vorfälle, Cyber-Bedrohungen und Beinaheunfälle;
    2. andere als die unter Buchstabe a genannten Stellen, unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, im Hinblick auf schwerwiegende Sicherheitsvorfälle, Cyberbedrohungen und Beinaheunfälle.
  2. Die Mitgliedstaaten bearbeiten die in Absatz 1 dieses Artikels genannten Meldungen nach dem Verfahren des Artikels 23. Die Mitgliedstaaten können obligatorische Meldungen gegenüber freiwilligen Meldungen vorrangig bearbeiten.

    Bei Bedarf stellen die CSIRTs und gegebenenfalls die zuständigen Behörden den zentralen Anlaufstellen die Informationen über die gemäß diesem Artikel eingegangenen Meldungen zur Verfügung und stellen dabei die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle bereitgestellten Informationen sicher. Unbeschadet der Verhütung, Untersuchung, Feststellung und Verfolgung von Straftaten führt die freiwillige Meldung nicht dazu, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die sie ohne die Meldung nicht gehabt hätte.

Kapitel 7 – Aufsicht und Durchsetzung

  1. Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden die Einhaltung dieser Richtlinie wirksam überwachen und die notwendigen Maßnahmen ergreifen.
  2. Die Mitgliedstaaten können ihren zuständigen Behörden gestatten, bei der Wahrnehmung ihrer Aufsichtsaufgaben Prioritäten zu setzen. Diese Prioritätensetzung muss auf einem risikobasierten Ansatz basieren. Zu diesem Zweck können die zuständigen Behörden bei der Wahrnehmung ihrer in den Artikeln 32 und 33 vorgesehenen Aufsichtsaufgaben Aufsichtsmethoden festlegen, die eine Priorisierung dieser Aufgaben nach einem risikobasierten Ansatz ermöglichen.
  3. Bei der Bewältigung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, arbeiten die zuständigen Behörden eng mit den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 zusammen; die Zuständigkeiten und Aufgaben der Aufsichtsbehörden gemäß dieser Verordnung bleiben hiervon unberührt.
  4. Unbeschadet nationaler rechtlicher und institutioneller Rahmenbedingungen stellen die Mitgliedstaaten sicher, dass die zuständigen Behörden bei der Überwachung der Einhaltung dieser Richtlinie durch öffentliche Verwaltungsstellen und bei der Verhängung von Durchsetzungsmaßnahmen bei Verstößen gegen diese Richtlinie über die erforderlichen Befugnisse verfügen, um diese Aufgaben in operativer Unabhängigkeit von den beaufsichtigten öffentlichen Verwaltungsstellen wahrnehmen zu können. Die Mitgliedstaaten können im Einklang mit den nationalen rechtlichen und institutionellen Rahmenbedingungen über die Verhängung angemessener, verhältnismäßiger und wirksamer Aufsichtsmaßnahmen und Durchsetzungsmaßnahmen gegenüber diesen Stellen entscheiden.
  1. Die Mitgliedstaaten stellen sicher, dass die den wesentlichen Einrichtungen im Hinblick auf die in dieser Richtlinie festgelegten Verpflichtungen auferlegten Aufsichtsmaßnahmen oder Durchsetzungsmaßnahmen wirksam, verhältnismäßig und abschreckend sind, wobei sie die Umstände des jeweiligen Einzelfalls berücksichtigen.
  2. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Wahrnehmung ihrer Aufsichtsaufgaben in Bezug auf wesentliche Einrichtungen die Befugnis haben, gegenüber diesen Einrichtungen zumindest Folgendes zu verpflichten:
    1. Inspektionen vor Ort und Überwachung außerhalb des Standorts, einschließlich Stichprobenkontrollen durch geschultes Fachpersonal;
    2. regelmäßige und gezielte Sicherheitsüberprüfungen durch ein unabhängiges Gremium oder eine zuständige Behörde;
    3. Ad-hoc-Prüfungen, auch wenn diese aufgrund eines bedeutenden Sicherheitsvorfalls oder eines Verstoßes der wesentlichen Einheit gegen diese Richtlinie gerechtfertigt sind;
    4. Sicherheitsscans auf der Grundlage objektiver, diskriminierungsfreier, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls in Zusammenarbeit mit der betroffenen Stelle;
    5. Anfragen nach Informationen, die für die Bewertung der von der betreffenden Stelle getroffenen Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit erforderlich sind, einschließlich dokumentierter Strategien zur Cybersicherheit, sowie zur Einhaltung der Verpflichtung zur Übermittlung von Informationen an die zuständigen Behörden gemäß Artikel 27;
    6. Anträge auf Zugang zu Daten, Dokumenten und Informationen, die für die Erfüllung ihrer Aufsichtsaufgaben erforderlich sind;
    7. Anfragen nach Nachweisen für die Umsetzung von Cybersicherheitsrichtlinien, beispielsweise die Ergebnisse von Sicherheitsprüfungen, die von einem qualifizierten Prüfer durchgeführt wurden, und die jeweiligen zugrunde liegenden Nachweise.

    Die gezielten Sicherheitsüberprüfungen gemäß Unterabsatz 1 Buchstabe b basieren auf den von der zuständigen Behörde oder dem geprüften Unternehmen durchgeführten Risikobewertungen oder auf anderen verfügbaren risikobezogenen Informationen.

    Die Ergebnisse gezielter Sicherheitsüberprüfungen werden der zuständigen Behörde zur Verfügung gestellt. Die Kosten einer solchen gezielten Sicherheitsüberprüfung durch eine unabhängige Stelle trägt das geprüfte Unternehmen, außer in hinreichend begründeten Fällen, in denen die zuständige Behörde anders entscheidet.

  3. Wenn die zuständigen Behörden von ihren Befugnissen nach Absatz 2 Buchstabe e, f oder g Gebrauch machen, geben sie den Zweck des Ersuchens an und präzisieren, um welche Informationen es sich handelt.
  4.  Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden bei der Ausübung ihrer Durchsetzungsbefugnisse in Bezug auf wesentliche Einrichtungen zumindest über die Befugnis verfügen,
    1. Verwarnungen vor Verstößen der betreffenden Stellen gegen diese Richtlinie aussprechen;
    2. verbindliche Anweisungen erlassen, unter anderem in Bezug auf die zur Verhütung oder Behebung eines Sicherheitsvorfalls erforderlichen Maßnahmen sowie in Bezug auf die Fristen für die Umsetzung dieser Maßnahmen und die Berichterstattung über ihre Umsetzung, oder eine Anordnung, mit der die betreffenden Stellen verpflichtet werden, die festgestellten Mängel oder Verstöße gegen diese Richtlinie zu beheben;
    3. die betreffenden Unternehmen anzuweisen, Verhaltensweisen, die gegen diese Richtlinie verstoßen, einzustellen und von einer Wiederholung abzusehen;
    4. die betreffenden Einrichtungen anzuweisen, in einer bestimmten Weise und innerhalb einer bestimmten Frist dafür zu sorgen, dass ihre Maßnahmen zum Risikomanagement der Cybersicherheit mit Artikel 21 in Einklang stehen, oder den in Artikel 23 festgelegten Meldepflichten nachzukommen;
    5. die betreffenden Einrichtungen anzuweisen, die natürlichen oder juristischen Personen, für die sie Dienstleistungen erbringen oder Tätigkeiten ausüben, die möglicherweise von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung sowie über mögliche Schutz- oder Abhilfemaßnahmen zu informieren, die diese natürlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergreifen können;
    6. den betroffenen Stellen auferlegen, die aus einem Sicherheitsaudit hervorgegangenen Empfehlungen innerhalb einer angemessenen Frist umzusetzen;
    7. einen Überwachungsbeauftragten benennen, der für einen bestimmten Zeitraum mit genau festgelegten Aufgaben betraut wird, um die Einhaltung der Artikel 21 und 23 durch die betreffenden Stellen zu überwachen;
    8. die betreffenden Stellen anzuweisen, Aspekte von Verstößen gegen diese Richtlinie in einer bestimmten Weise öffentlich zu machen;
    9. zusätzlich zu den in den Buchstaben a bis h dieses Absatzes genannten Maßnahmen eine Geldbuße gemäß Artikel 34 verhängen oder die Verhängung einer solchen Geldbuße durch die zuständigen Stellen oder Gerichte im Einklang mit dem nationalen Recht beantragen.
  5. Wenn Durchsetzungsmaßnahmen gemäß Absatz 4 Buchstaben a bis d und f unwirksam sind, stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind, eine Frist zu setzen, innerhalb derer die wesentliche Einrichtung aufgefordert wird, die erforderlichen Maßnahmen zu ergreifen, um die Mängel zu beheben oder den Anforderungen dieser Behörden nachzukommen. Werden die geforderten Maßnahmen nicht innerhalb der gesetzten Frist ergriffen, stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind,
    1. eine Zertifizierung oder Genehmigung für alle oder einen Teil der von der wesentlichen Einrichtung erbrachten relevanten Dienste oder durchgeführten Tätigkeiten vorübergehend auszusetzen oder eine Zertifizierungs- oder Genehmigungsstelle oder ein Gericht gemäß nationalem Recht zu ersuchen, eine solche Zertifizierung oder Genehmigung vorübergehend auszusetzen;
    2. zu beantragen, dass die zuständigen Stellen oder Gerichte im Einklang mit dem nationalen Recht jeder natürlichen Person, die auf der Ebene des Vorstandsvorsitzenden oder des gesetzlichen Vertreters mit der Wahrnehmung von Leitungsaufgaben in der wesentlichen Einheit betraut ist, vorübergehend die Ausübung von Leitungsfunktionen in dieser Einheit untersagen.

    Vorübergehende Aussetzungen oder Verbote gemäß diesem Absatz gelten nur so lange, bis die betreffende Stelle die erforderlichen Maßnahmen zur Behebung der Mängel ergreift oder den Anforderungen der zuständigen Behörde, gegen die diese Durchsetzungsmaßnahmen ergriffen wurden, nachkommt. Die Verhängung solcher vorübergehenden Aussetzungen oder Verbote erfolgt vorbehaltlich angemessener Verfahrensgarantien im Einklang mit den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf einen wirksamen Rechtsbehelf und ein faires Verfahren, der Unschuldsvermutung und der Verteidigungsrechte.

    Die in diesem Absatz vorgesehenen Durchsetzungsmaßnahmen finden auf Einrichtungen der öffentlichen Verwaltung, die dieser Richtlinie unterliegen, keine Anwendung.

  6. Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die für eine wesentliche Einrichtung verantwortlich ist oder aufgrund ihrer Vertretungsbefugnis, ihrer Entscheidungsbefugnis oder ihrer Kontrollbefugnis als gesetzlicher Vertreter einer wesentlichen Einrichtung handelt, befugt ist, für die Einhaltung dieser Richtlinie durch diese Einrichtung zu sorgen. Die Mitgliedstaaten stellen sicher, dass solche natürlichen Personen für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung dieser Richtlinie haftbar gemacht werden können.

    In Bezug auf Einrichtungen der öffentlichen Verwaltung gilt dieser Absatz unbeschadet der nationalen Rechtsvorschriften hinsichtlich der Haftung von öffentlichen Bediensteten und gewählten oder ernannten Beamten.

  7. Bei der Ergreifung einer der in Absatz 4 oder 5 genannten Durchsetzungsmaßnahmen beachten die zuständigen Behörden die Verteidigungsrechte und berücksichtigen die Umstände jedes Einzelfalls; sie tragen mindestens Folgendem gebührend Rechnung:
    1. die Schwere des Verstoßes und die Bedeutung der verletzten Bestimmungen, wobei insbesondere folgende Punkte in jedem Fall einen schweren Verstoß darstellen:
      1. wiederholte Verstöße;
      2. Unterlassene Meldung oder Behebung erheblicher Vorfälle;
      3. Unterlassene Behebung von Mängeln nach verbindlichen Anweisungen der zuständigen Behörden;
      4. die Behinderung von Prüfungen oder Überwachungstätigkeiten, die von der zuständigen Behörde nach Feststellung eines Verstoßes angeordnet wurden;
      5. Bereitstellung falscher oder grob ungenauer Angaben zu den in den Artikeln 21 und 23 festgelegten Maßnahmen zum Risikomanagement der Cybersicherheit oder zu den Meldepflichten;
    2. die Dauer des Verstoßes;
    3. etwaige frühere einschlägige Verstöße der betreffenden Stelle;
    4. etwaige entstandene materielle oder immaterielle Schäden, einschließlich etwaiger finanzieller oder wirtschaftlicher Verluste, Auswirkungen auf andere Dienste und die Zahl der betroffenen Nutzer;
    5. etwaige Vorsätze oder Fahrlässigkeit seitens des Täters der Rechtsverletzung;
    6. alle vom Unternehmen ergriffenen Maßnahmen zur Verhinderung oder Minderung des materiellen oder immateriellen Schadens;
    7. die Einhaltung genehmigter Verhaltenskodizes oder genehmigter Zertifizierungsmechanismen;
    8. das Ausmaß der Zusammenarbeit der verantwortlichen natürlichen oder juristischen Personen mit den zuständigen Behörden.
  8. Die zuständigen Behörden begründen ihre Durchsetzungsmaßnahmen ausführlich. Bevor sie derartige Maßnahmen ergreifen, unterrichten die zuständigen Behörden die betreffenden Stellen über ihre vorläufigen Feststellungen. Sie räumen den Stellen außerdem eine angemessene Frist zur Übermittlung ihrer Stellungnahmen ein, außer in hinreichend begründeten Fällen, in denen andernfalls sofortige Maßnahmen zur Verhütung oder Reaktion auf Sicherheitsvorfälle verhindert würden.
  9. Die Mitgliedstaaten stellen sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden die jeweils gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden in demselben Mitgliedstaat informieren, wenn sie ihre Aufsichts- und Durchsetzungsbefugnisse ausüben, um die Einhaltung dieser Richtlinie durch eine gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtung eingestufte Einrichtung sicherzustellen. Gegebenenfalls können die gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden die gemäß dieser Richtlinie zuständigen Behörden ersuchen, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine Einrichtung auszuüben, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtung eingestuft ist.
  10. Die Mitgliedstaaten stellen sicher, dass ihre im Rahmen dieser Richtlinie zuständigen Behörden mit den jeweils zuständigen Behörden des betreffenden Mitgliedstaats im Rahmen der Verordnung (EU) 2022/2554 zusammenarbeiten. Insbesondere stellen die Mitgliedstaaten sicher, dass ihre im Rahmen dieser Richtlinie zuständigen Behörden das gemäß Artikel 32 Absatz 1 der Verordnung (EU) 2022/2554 eingerichtete Aufsichtsforum informieren, wenn sie ihre Aufsichts- und Durchsetzungsbefugnisse ausüben, um die Einhaltung dieser Richtlinie durch eine wesentliche Einrichtung sicherzustellen, die gemäß Artikel 31 der Verordnung (EU) 2022/2554 als kritischer IKT-Drittanbieter eingestuft wurde.
  1. Wenn den Mitgliedstaaten Beweise, Hinweise oder Informationen vorliegen, dass ein wichtiges Unternehmen diese Richtlinie, insbesondere deren Artikel 21 und 23, mutmaßlich nicht einhält, stellen sie sicher, dass die zuständigen Behörden erforderlichenfalls durch nachträgliche Aufsichtsmaßnahmen einschreiten. Die Mitgliedstaaten stellen sicher, dass diese Maßnahmen unter Berücksichtigung der Umstände des Einzelfalls wirksam, verhältnismäßig und abschreckend sind.
  2. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Wahrnehmung ihrer Aufsichtsaufgaben in Bezug auf wichtige Unternehmen befugt sind, diesen Unternehmen zumindest Folgendes zu unterwerfen:
    1. Inspektionen vor Ort und außerhalb des Standorts nachträglich Aufsicht durch ausgebildetes Fachpersonal;
    2. gezielte Sicherheitsüberprüfungen durch ein unabhängiges Gremium oder eine zuständige Behörde;
    3. Sicherheitsscans auf der Grundlage objektiver, diskriminierungsfreier, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls in Zusammenarbeit mit der betroffenen Stelle;
    4. Auskunftsersuchen, die zur Beurteilung erforderlich sind, nachträglichdie von der betreffenden Einrichtung ergriffenen Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit, einschließlich dokumentierter Strategien zur Cybersicherheit, sowie die Einhaltung der Informationspflicht gegenüber den zuständigen Behörden gemäß Artikel 27;
    5. Anträge auf Zugang zu Daten, Dokumenten und Informationen, die für die Erfüllung ihrer Aufsichtsaufgaben erforderlich sind;
    6. Anfragen nach Nachweisen für die Umsetzung von Cybersicherheitsrichtlinien, beispielsweise die Ergebnisse von Sicherheitsprüfungen, die von einem qualifizierten Prüfer durchgeführt wurden, und die jeweiligen zugrunde liegenden Nachweise.

    Die gezielten Sicherheitsüberprüfungen gemäß Unterabsatz 1 Buchstabe b basieren auf den von der zuständigen Behörde oder dem geprüften Unternehmen durchgeführten Risikobewertungen oder auf anderen verfügbaren risikobezogenen Informationen.

    Die Ergebnisse gezielter Sicherheitsüberprüfungen werden der zuständigen Behörde zur Verfügung gestellt. Die Kosten einer solchen gezielten Sicherheitsüberprüfung durch eine unabhängige Stelle trägt das geprüfte Unternehmen, außer in hinreichend begründeten Fällen, in denen die zuständige Behörde anders entscheidet.

  3. Wenn die zuständigen Behörden von ihren Befugnissen nach Absatz 2 Buchstabe d, e oder f Gebrauch machen, geben sie den Zweck des Ersuchens an und präzisieren, um welche Informationen es sich handelt.
  4. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Ausübung ihrer Durchsetzungsbefugnisse gegenüber wichtigen Unternehmen zumindest über die Befugnis verfügen,
    1. Verwarnungen vor Verstößen der betreffenden Stellen gegen diese Richtlinie aussprechen;
    2. Erlass verbindlicher Anweisungen oder Anordnungen, mit denen die betreffenden Stellen verpflichtet werden, die festgestellten Mängel bzw. den Verstoß gegen diese Richtlinie zu beheben;
    3. die betreffenden Unternehmen anzuweisen, Verhaltensweisen, die gegen diese Richtlinie verstoßen, einzustellen und von einer Wiederholung abzusehen;
    4. die betreffenden Einrichtungen anzuweisen, in einer bestimmten Weise und innerhalb einer bestimmten Frist dafür zu sorgen, dass ihre Maßnahmen zum Risikomanagement der Cybersicherheit mit Artikel 21 in Einklang stehen, oder den in Artikel 23 festgelegten Meldepflichten nachzukommen;
    5. die betreffenden Einrichtungen anzuweisen, die natürlichen oder juristischen Personen, für die sie Dienstleistungen erbringen oder Tätigkeiten ausüben, die möglicherweise von einer erheblichen Cyberbedrohung betroffen sind, über die Art der Bedrohung sowie über mögliche Schutz- oder Abhilfemaßnahmen zu informieren, die diese natürlichen oder juristischen Personen als Reaktion auf diese Bedrohung ergreifen können;
    6. den betroffenen Stellen auferlegen, die aus einem Sicherheitsaudit hervorgegangenen Empfehlungen innerhalb einer angemessenen Frist umzusetzen;
    7. die betreffenden Stellen anzuweisen, Aspekte von Verstößen gegen diese Richtlinie in einer bestimmten Weise öffentlich zu machen;
    8. zusätzlich zu den in den Buchstaben a bis g dieses Absatzes genannten Maßnahmen eine Geldbuße gemäß Artikel 34 verhängen oder die Verhängung einer solchen Geldbuße durch die zuständigen Stellen oder Gerichte im Einklang mit dem nationalen Recht beantragen.
  5. Artikel 32 Absätze 6, 7 und 8 gelten sinngemäß den in diesem Artikel für wichtige Unternehmen vorgesehenen Aufsichtsmaßnahmen und Durchsetzungsmaßnahmen.
  6. Die Mitgliedstaaten stellen sicher, dass ihre im Rahmen dieser Richtlinie zuständigen Behörden mit den jeweils zuständigen Behörden des betreffenden Mitgliedstaats im Rahmen der Verordnung (EU) 2022/2554 zusammenarbeiten. Insbesondere stellen die Mitgliedstaaten sicher, dass ihre im Rahmen dieser Richtlinie zuständigen Behörden das gemäß Artikel 32 Absatz 1 der Verordnung (EU) 2022/2554 eingerichtete Aufsichtsforum informieren, wenn sie ihre Aufsichts- und Durchsetzungsbefugnisse ausüben, um die Einhaltung dieser Richtlinie durch ein wichtiges Unternehmen sicherzustellen, das gemäß Artikel 31 der Verordnung (EU) 2022/2554 als kritischer IKT-Drittanbieter eingestuft wurde.
  1. Die Mitgliedstaaten stellen sicher, dass die Geldbußen, die wesentlichen und wichtigen Einrichtungen gemäß diesem Artikel bei Verstößen gegen diese Richtlinie auferlegt werden, wirksam, verhältnismäßig und abschreckend sind und dabei die Umstände des jeweiligen Einzelfalls berücksichtigen.
  2. Verwaltungsgeldbußen werden zusätzlich zu den in Artikel 32 Absatz 4 Buchstaben a bis h, Artikel 32 Absatz 5 und Artikel 33 Absatz 4 Buchstaben a bis g genannten Maßnahmen verhängt.
  3. Bei der Entscheidung über die Verhängung einer Geldbuße und über ihre Höhe im Einzelfall sind mindestens die in Artikel 32 Absatz 7 genannten Elemente gebührend zu berücksichtigen.
  4. Die Mitgliedstaaten stellen sicher, dass gegen wesentliche Einrichtungen bei Verstößen gegen Artikel 21 oder 23 im Einklang mit den Absätzen 2 und 3 des vorliegenden Artikels Geldbußen in Höhe von mindestens 10 000 000 EUR oder von mindestens 2 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens, zu dem die wesentliche Einrichtung gehört, im vorangegangenen Geschäftsjahr verhängt werden (je nachdem, welcher Betrag höher ist).
  5. Die Mitgliedstaaten stellen sicher, dass gegen wichtige Unternehmen bei Verstößen gegen Artikel 21 oder 23 im Einklang mit den Absätzen 2 und 3 des vorliegenden Artikels Geldbußen in Höhe von mindestens 7 000 000 EUR oder von höchstens 1,4 Tonnen des gesamten weltweit erzielten Jahresumsatzes des Unternehmens, zu dem das wichtige Unternehmen gehört, im vorangegangenen Geschäftsjahr verhängt werden (je nachdem, welcher Betrag höher ist).
  6. Die Mitgliedstaaten können die Befugnis vorsehen, Zwangsgelder zu verhängen, um eine wesentliche oder wichtige Einrichtung dazu zu zwingen, einen Verstoß gegen diese Richtlinie nach einer vorherigen Entscheidung der zuständigen Behörde einzustellen.
  7. Unbeschadet der Befugnisse der zuständigen Behörden nach den Artikeln 32 und 33 kann jeder Mitgliedstaat Vorschriften darüber festlegen, ob und in welchem Ausmaß gegen Einrichtungen der öffentlichen Verwaltung Geldbußen verhängt werden können.
  8. Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, so stellt dieser Mitgliedstaat sicher, dass dieser Artikel so angewandt wird, dass die Geldbuße von der zuständigen Behörde eingeleitet und von den zuständigen nationalen Gerichten verhängt wird, und stellt gleichzeitig sicher, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung haben wie die von den zuständigen Behörden verhängten Geldbußen. In jedem Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Der Mitgliedstaat teilt der Kommission bis zum 17. Oktober 2024 die Bestimmungen der Gesetze mit, die er aufgrund dieses Absatzes erlässt, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen, die diese betreffen.
  1. (2) Wenn den zuständigen Behörden im Rahmen der Aufsichts- oder Durchsetzungstätigkeit auffällt, dass der Verstoß einer wesentlichen oder wichtigen Einrichtung gegen die in den Artikeln 21 und 23 dieser Richtlinie festgelegten Pflichten eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 nach sich ziehen kann, die gemäß Artikel 33 jener Verordnung zu melden ist, unterrichten sie unverzüglich die in Artikel 55 oder 56 jener Verordnung genannten Aufsichtsbehörden.
  2. Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden eine Geldbuße gemäß Artikel 58 Absatz 2 Buchstabe i jener Verordnung, verhängen die zuständigen Behörden keine Geldbuße gemäß Artikel 34 dieser Richtlinie für einen in Absatz 1 dieses Artikels genannten Verstoß, der auf demselben Verhalten beruht wie dem, das Gegenstand der Geldbuße gemäß Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 war. Die zuständigen Behörden können jedoch die in Artikel 32 Absatz 4 Buchstaben a bis h, Artikel 32 Absatz 5 und Artikel 33 Absatz 4 Buchstaben a bis g dieser Richtlinie vorgesehenen Durchsetzungsmaßnahmen verhängen.
  3. Befindet sich die gemäß der Verordnung (EU) 2016/679 zuständige Aufsichtsbehörde in einem anderen Mitgliedstaat als die zuständige Behörde, so informiert die zuständige Behörde die Aufsichtsbehörde in ihrem eigenen Mitgliedstaat über die in Absatz 1 genannte potenzielle Datenschutzverletzung.

Die Mitgliedstaaten legen fest, welche Sanktionen bei Verstößen gegen die gemäß dieser Richtlinie erlassenen nationalen Maßnahmen zu verhängen sind, und treffen alle erforderlichen Maßnahmen, um deren Durchsetzung zu gewährleisten. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zum 17. Januar 2025 mit und melden ihr unverzüglich alle späteren Änderungen, die diese betreffen.

  1. Erbringt eine Einrichtung Dienstleistungen in mehr als einem Mitgliedstaat oder erbringt sie Dienstleistungen in einem oder mehreren Mitgliedstaaten und befinden sich ihre Netze und Informationssysteme in einem oder mehreren anderen Mitgliedstaaten, so arbeiten die zuständigen Behörden der betreffenden Mitgliedstaaten zusammen und leisten einander bei Bedarf Unterstützung. Diese Zusammenarbeit umfasst mindestens Folgendes:
    1. Die zuständigen Behörden, die in einem Mitgliedstaat Aufsichtsmaßnahmen oder Durchsetzungsmaßnahmen anwenden, informieren die zuständigen Behörden der anderen betroffenen Mitgliedstaaten über die ergriffenen Aufsichtsmaßnahmen und Durchsetzungsmaßnahmen und konsultieren diese über die einheitliche Anlaufstelle.
    2. eine zuständige Behörde kann eine andere zuständige Behörde um Aufsichtsmaßnahmen oder Durchsetzungsmaßnahmen ersuchen;
    3. Eine zuständige Behörde leistet nach Eingang eines begründeten Ersuchens einer anderen zuständigen Behörde dieser anderen zuständigen Behörde Amtshilfe im Rahmen ihrer eigenen Ressourcen, damit die Aufsichtsmaßnahmen oder Durchsetzungsmaßnahmen wirksam, effizient und kohärent umgesetzt werden können.

    Die in Unterabsatz 1 Buchstabe c genannte Amtshilfe kann Informationsersuchen und Aufsichtsmaßnahmen umfassen, darunter auch Ersuchen um die Durchführung von Prüfungen vor Ort oder Aufsichten außerhalb von Standorten oder gezielten Sicherheitsüberprüfungen. Eine zuständige Behörde, an die ein Amtshilfeersuchen gerichtet wird, darf dieses Ersuchen nur ablehnen, wenn festgestellt wird, dass sie nicht über die erforderliche Kompetenz zur Bereitstellung der erbetenen Amtshilfe verfügt, die erbetene Amtshilfe in keinem Verhältnis zu den Aufsichtsaufgaben der zuständigen Behörde steht oder das Ersuchen Informationen betrifft oder Tätigkeiten nach sich zieht, deren Weitergabe oder Durchführung den wesentlichen Interessen der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung des Mitgliedstaats zuwiderlaufen würde. Vor der Ablehnung eines solchen Ersuchens konsultiert die zuständige Behörde die anderen betroffenen zuständigen Behörden sowie – auf Ersuchen eines der betroffenen Mitgliedstaaten – die Kommission und die ENISA.

  2. Gegebenenfalls und im gegenseitigen Einvernehmen können die zuständigen Behörden verschiedener Mitgliedstaaten gemeinsame Aufsichtsmaßnahmen durchführen.
 

Kapitel 8 – Delegierte Rechtsakte und Durchführungsrechtsakte

  1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
  2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 24 Absatz 2 wird der Kommission für einen Zeitraum von fünf Jahren ab dem 16. Januar 2023 übertragen.
  3. Die in Artikel 24 Absatz 2 genannte Befugnisübertragung kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
  4. Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.
  5. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
  6. Ein delegierter Rechtsakt gemäß Artikel 24 Absatz 2 tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.
  1. Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
  2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
  3. Wird die Stellungnahme des Ausschusses im schriftlichen Verfahren eingeholt, so wird das Verfahren ohne Ergebnis abgeschlossen, wenn der Ausschussvorsitz dies innerhalb der Frist zur Abgabe der Stellungnahme beschließt oder ein Ausschussmitglied dies verlangt.
 

Kapitel 9 – Schlussbestimmungen

Bis zum 17. Oktober 2027 und danach alle 36 Monate überprüft die Kommission die Funktionsweise dieser Richtlinie und erstattet dem Europäischen Parlament und dem Rat Bericht. In dem Bericht wird insbesondere die Relevanz der Größe der betreffenden Einrichtungen sowie der in den Anhängen I und II genannten Sektoren, Teilsektoren und Arten von Einrichtungen für das Funktionieren der Wirtschaft und der Gesellschaft im Hinblick auf die Cybersicherheit bewertet. Zu diesem Zweck und im Hinblick auf die weitere Vertiefung der strategischen und operativen Zusammenarbeit berücksichtigt die Kommission die Berichte der Kooperationsgruppe und des CSIRTs-Netzwerks über die auf strategischer und operativer Ebene gewonnenen Erfahrungen. Dem Bericht wird erforderlichenfalls ein Legislativvorschlag beigefügt.

 
  1. Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Maßnahmen, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.
    Sie wenden diese Maßnahmen ab dem 18. Oktober 2024 an.
  2. Wenn die Mitgliedstaaten die in Absatz 1 genannten Vorschriften erlassen, nehmen sie in diesen Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.

In der Verordnung (EU) Nr. 910/2014 wird Artikel 19 mit Wirkung vom 18. Oktober 2024 gestrichen.

In der Richtlinie (EU) 2018/1972 werden die Artikel 40 und 41 mit Wirkung vom 18. Oktober 2024 gestrichen.

Die Richtlinie (EU) 2016/1148 wird mit Wirkung vom 18. Oktober 2024 aufgehoben.

Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Richtlinie und sind gemäß der Entsprechungstabelle in Anhang III zu lesen.

Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Offizielles Journal der europäischen Union.

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Anhänge

SektorTeilsektorArt der Entität
1.Energie
(A)Elektrizität
Elektrizitätsunternehmen im Sinne des Artikels 2 Nummer 57 der Richtlinie (EU) 2019/944 des Europäischen Parlaments und des Rates (1), die die Funktion der „Versorgung“ im Sinne des Artikels 2 Nummer 12 dieser Richtlinie wahrnehmen
Verteilernetzbetreiber im Sinne von Artikel 2 Nummer 29 der Richtlinie (EU) 2019/944
Übertragungsnetzbetreiber im Sinne von Artikel 2 Nummer 35 der Richtlinie (EU) 2019/944
Hersteller im Sinne von Artikel 2 Nummer 38 der Richtlinie (EU) 2019/944
Nominierte Strommarktbetreiber im Sinne des Artikels 2 Nummer 8 der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates (2)
Marktteilnehmer im Sinne des Artikels 2 Nummer (25) der Verordnung (EU) 2019/943, die Aggregations-, Laststeuerungs- oder Energiespeicherdienste im Sinne des Artikels 2 Nummern (18), (20) und (59) der Richtlinie (EU) 2019/944 erbringen
Betreiber einer Ladestation, die für die Verwaltung und den Betrieb einer Ladestation verantwortlich sind, die Endnutzern einen Ladedienst anbietet, auch im Namen und im Auftrag eines Mobilitätsdienstleisters
(B)Fernwärme und -kälte
Betreiber von Fernwärme oder Fernkälte im Sinne des Artikels 2 Nummer 19 der Richtlinie (EU) 2018/2001 des Europäischen Parlaments und des Rates (3)
(C)Öl
Betreiber von Ölfernleitungen
Betreiber von Ölproduktions-, Raffinerie- und Aufbereitungsanlagen, Lagerungs- und Transportanlagen
Zentrale Bevorratungsstellen im Sinne des Artikels 2 Buchstabe f der Richtlinie 2009/119/EG des Rates (4)
(D)Gas
Versorgungsunternehmen im Sinne des Artikels 2 Nummer 8 der Richtlinie 2009/73/EG des Europäischen Parlaments und des Rates (5)
Verteilernetzbetreiber im Sinne von Artikel 2 Nummer 6 der Richtlinie 2009/73/EG
Übertragungsnetzbetreiber im Sinne von Artikel 2 Nummer (4) der Richtlinie 2009/73/EG
Speicheranlagenbetreiber im Sinne von Artikel 2 Nummer 10 der Richtlinie 2009/73/EG
LNG-Systembetreiber im Sinne von Artikel 2 Nummer 12 der Richtlinie 2009/73/EG
Erdgasunternehmen im Sinne von Artikel 2 Nummer 1 der Richtlinie 2009/73/EG
Betreiber von Erdgasraffinerien und -aufbereitungsanlagen
e)Wasserstoff
Betreiber von Wasserstoffproduktion, -speicherung und -übertragung
2.Transport
(A)Luft
Luftfahrtunternehmen im Sinne von Artikel 3 Nummer (4) der Verordnung (EG) Nr. 300/2008, die zu gewerblichen Zwecken eingesetzt werden
Flughafenleitungsorgane im Sinne des Artikels 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates (6), Flughäfen im Sinne des Artikels 2 Nummer 1 dieser Richtlinie, einschließlich der in Abschnitt 2 des Anhangs II der Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates (7) aufgeführten Kernflughäfen, sowie Unternehmen, die Nebenanlagen in Flughäfen betreiben
Verkehrsmanagement- und Flugsicherungsbetreiber, die Flugverkehrskontrolldienste im Sinne des Artikels 2 Nummer 1 der Verordnung (EG) Nr. 549/2004 des Europäischen Parlaments und des Rates (8) erbringen
(B)Schiene
Infrastrukturbetreiber im Sinne des Artikels 3 Nummer 2 der Richtlinie 2012/34/EU des Europäischen Parlaments und des Rates (9)
Eisenbahnunternehmen im Sinne des Artikels 3 Nummer (1) der Richtlinie 2012/34/EU, einschließlich der Betreiber von Serviceeinrichtungen im Sinne des Artikels 3 Nummer (12) dieser Richtlinie
(C)Wasser
Unternehmen der Binnen-, See- und Küstenschifffahrt für die Beförderung von Personen und Gütern im Sinne des Seeverkehrsgesetzes in Anhang I der Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates (10), ausgenommen die von diesen Unternehmen betriebenen Einzelschiffe
Leitungsorgane von Häfen im Sinne des Artikels 3 Nummer 1 der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates (11), einschließlich ihrer Hafenanlagen im Sinne des Artikels 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Unternehmen, die in Häfen enthaltene Bauwerke und Ausrüstungen betreiben
Betreiber von Schiffsverkehrsdiensten (VTS) im Sinne des Artikels 3 Buchstabe o der Richtlinie 2002/59/EG des Europäischen Parlaments und des Rates (12)
(D)Straße
Straßenverkehrsbehörden im Sinne von Artikel 2 Nummer 12 der Delegierten Verordnung (EU) 2015/962 der Kommission (13), die für die Verkehrsmanagementkontrolle zuständig sind, ausgenommen öffentliche Stellen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit darstellt
Betreiber intelligenter Verkehrssysteme im Sinne des Artikels 4 Nummer 1 der Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates (14)
3.Bankwesen
 Kreditinstitute im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates (15)
4.Finanzmarktinfrastrukturen
 
Betreiber von Handelsplätzen im Sinne des Artikels 4 Nummer 24 der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates (16)
Zentrale Gegenparteien (CCPs) im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates (17)
5.Gesundheit
 
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (18)
EU-Referenzlaboratorien gemäß Artikel 15 der Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates (19)
Einrichtungen, die Forschungs- und Entwicklungstätigkeiten im Bereich Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG des Europäischen Parlaments und des Rates (20) durchführen
Unternehmen, die pharmazeutische Grunderzeugnisse und pharmazeutische Präparate herstellen, die in Abschnitt C Abteilung 21 der NACE Rev. 2 aufgeführt sind
Stellen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch gelten (Liste kritischer Produkte für Notlagen im Bereich der öffentlichen Gesundheit) im Sinne des Artikels 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates (21)
6.Wasser trinken
 Lieferanten und Vertreiber von Wasser für den menschlichen Gebrauch im Sinne von Artikel 2 Nummer 1 Buchstabe a der Richtlinie (EU) 2020/2184 des Europäischen Parlaments und des Rates (22), ausgenommen Vertreiber, für die die Verteilung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Bestandteil ihrer allgemeinen Tätigkeit der Verteilung anderer Rohstoffe und Waren ist
7.Abwasser
 Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser im Sinne des Artikels 2 Nummern 1, 2 und 3 der Richtlinie 91/271/EWG des Rates (23) sammeln, beseitigen oder behandeln, ausgenommen Unternehmen, für die das Sammeln, Beseitigen oder Behandeln von kommunalem Abwasser, häuslichem Abwasser oder industriellem Abwasser einen nicht wesentlichen Teil ihrer allgemeinen Tätigkeit darstellt
8.Digitale Infrastruktur
 
Internet-Knotenpunkt-Anbieter
DNS-Dienstanbieter, ausgenommen Betreiber von Root-Nameservern
TLD-Namensregistrierungen
Anbieter von Cloud-Computing-Diensten
Anbieter von Rechenzentrumsdienstleistungen
Anbieter von Content-Delivery-Networks
Vertrauensdienstleister
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
9.IKT-Servicemanagement (Business-to-Business)
 
Anbieter von Managed Services
Anbieter verwalteter Sicherheitsdienste
10.Öffentliche Verwaltung
 
Öffentliche Verwaltungseinheiten der Zentralregierungen, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert werden
Öffentliche Verwaltungseinheiten auf regionaler Ebene, wie sie von einem Mitgliedstaat gemäß nationalem Recht definiert werden
11.Raum
 Betreiber von bodengestützter Infrastruktur, die sich im Eigentum der Mitgliedstaaten oder privater Parteien befindet und von diesen verwaltet und betrieben wird und die Bereitstellung weltraumgestützter Dienste unterstützt, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze
(1) Richtlinie (EU) 2019/944 des Europäischen Parlaments und des Rates vom 5. Juni 2019 mit gemeinsamen Vorschriften für den Elektrizitätsbinnenmarkt und zur Änderung der Richtlinie 2012/27/EU (ABl. L 158 vom 14.6.2019, S. 125).
(2) Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates vom 5. Juni 2019 über den Elektrizitätsbinnenmarkt (ABl. L 158 vom 14.6.2019, S. 54).
(3) Richtlinie (EU) 2018/2001 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 zur Förderung der Nutzung von Energie aus erneuerbaren Quellen (ABl. L 328 vom 21.12.2018, S. 82).
(4) Richtlinie 2009/119/EG des Rates vom 14. September 2009 zur Verpflichtung der Mitgliedstaaten, Mindestvorräte an Erdöl und/oder Erdölerzeugnissen zu halten (ABl. L 265 vom 9.10.2009, S. 9).
(5) Richtlinie 2009/73/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 über gemeinsame Vorschriften für den Erdgasbinnenmarkt und zur Aufhebung der Richtlinie 2003/55/EG (ABl. L 211 vom 14.8.2009, S. 94).
(6) Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates vom 11. März 2009 über Flughafenentgelte (ABl. L 70 vom 14.3.2009, S. 11).
(7) Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 über Leitlinien der Union für den Aufbau eines transeuropäischen Verkehrsnetzes und zur Aufhebung des Beschlusses Nr. 661/2010/EU (ABl. L 348 vom 20.12.2013, S. 1).
(8) Verordnung (EG) Nr. 549/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Festlegung des Rahmens für die Schaffung eines einheitlichen europäischen Luftraums („Rahmenverordnung“) (ABl. L 96 vom 31.3.2004, S. 1).
(9) Richtlinie 2012/34/EU des Europäischen Parlaments und des Rates vom 21. November 2012 zur Schaffung eines einheitlichen europäischen Eisenbahnraums (ABl. L 343 vom 14.12.2012, S. 32).
(10) Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen (ABl. L 129 vom 29.4.2004, S. 6).
(11) Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen (ABl. L 310 vom 25.11.2005, S. 28).
(12) Richtlinie 2002/59/EG des Europäischen Parlaments und des Rates vom 27. Juni 2002 über die Einrichtung eines gemeinschaftlichen Überwachungs- und Informationssystems für den Schiffsverkehr und zur Aufhebung der Richtlinie 93/75/EWG des Rates (ABl. L 208 vom 5.8.2002, S. 10).
(13) Delegierte Verordnung (EU) 2015/962 der Kommission vom 18. Dezember 2014 zur Ergänzung der Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates im Hinblick auf die Bereitstellung EU-weiter Echtzeit-Verkehrsinformationsdienste (ABl. L 157 vom 23.6.2015, S. 21).
(14) Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates vom 7. Juli 2010 zum Rahmen für die Einführung intelligenter Verkehrssysteme im Straßenverkehr und für deren Schnittstellen zu anderen Verkehrsträgern (ABl. L 207 vom 6.8.2010, S. 1).
(15) Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1).
(16) Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (ABl. L 173 vom 12.6.2014, S. 349).
(17) Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1).
(18) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
(19) Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates vom 23. November 2022 zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung des Beschlusses Nr. 1082/2013/EU (ABl. L 314 vom 6.12.2022, S. 26).
(20) Richtlinie 2001/83/EG des Europäischen Parlaments und des Rates vom 6. November 2001 zur Schaffung eines Gemeinschaftskodexes für Humanarzneimittel (ABl. L 311 vom 28.11.2001, S. 67).
(21) Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates vom 25. Januar 2022 über eine gestärkte Rolle der Europäischen Arzneimittel-Agentur bei der Krisenvorsorge und dem Krisenmanagement im Zusammenhang mit Arzneimitteln und Medizinprodukten (ABl. L 20 vom 31.1.2022, S. 1).
(22) Richtlinie (EU) 2020/2184 des Europäischen Parlaments und des Rates vom 16. Dezember 2020 über die Qualität von Wasser für den menschlichen Gebrauch (ABl. L 435 vom 23.12.2020, S. 1).
(23) Richtlinie 91/271/EWG des Rates vom 21. Mai 1991 über die Behandlung von kommunalem Abwasser (ABl. L 135 vom 30.5.1991, S. 40).
Sektor Teilsektor Art der Entität
1. Post- und Kurierdienste
Postdienstleister im Sinne von Artikel 2 Nummer 1a der Richtlinie 97/67/EG, einschließlich Anbieter von Kurierdiensten
2. Abfallmanagement
Unternehmen, die Abfallbewirtschaftung im Sinne von Artikel 3 Nummer (9) der Richtlinie 2008/98/EG des Europäischen Parlaments und des Rates durchführen (1), ausgenommen Unternehmen, deren Haupttätigkeit nicht die Abfallbewirtschaftung ist
3. Herstellung, Produktion und Vertrieb von Chemikalien
Unternehmen, die Stoffe herstellen und Stoffe oder Gemische vertreiben, im Sinne von Artikel 3 Nummern (9) und (14) der Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates (2) und Unternehmen, die Erzeugnisse im Sinne von Artikel 3 Nummer 3 der genannten Verordnung aus Stoffen oder Gemischen herstellen
4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Lebensmittelunternehmen im Sinne von Artikel 3 Nummer (2) der Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates (3) die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind
5. Herstellung
(A) Herstellung von medizinischen Geräten und  in vitro diagnostische medizinische Geräte
Unternehmen, die Medizinprodukte im Sinne von Artikel 2 Nummer (1) der Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates herstellen (4)und Unternehmen, die  in vitro Diagnostische Medizinprodukte im Sinne von Artikel 2 Nummer (2) der Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates (5) mit Ausnahme der Unternehmen, die Medizinprodukte gemäß Anhang I Nummer 5 fünfter Gedankenstrich dieser Richtlinie herstellen
(B) Herstellung von Computer-, Elektronik- und Optikprodukten
Unternehmen, die eine der in Abschnitt C Abteilung 26 der NACE Rev. 2 genannten wirtschaftlichen Tätigkeiten ausüben
(C) Herstellung von elektrischen Geräten
Unternehmen, die eine der in Abschnitt C Abteilung 27 der NACE Rev. 2 genannten wirtschaftlichen Tätigkeiten ausüben
(D) Herstellung von Maschinen und Ausrüstungen ang
Unternehmen, die eine der in Abschnitt C Abteilung 28 der NACE Rev. 2 genannten wirtschaftlichen Tätigkeiten ausüben
e) Herstellung von Kraftfahrzeugen, Anhängern und Sattelanhängern
Unternehmen, die eine der in Abschnitt C Abteilung 29 der NACE Rev. 2 genannten wirtschaftlichen Tätigkeiten ausüben
(F) Herstellung sonstiger Transportmittel
Unternehmen, die eine der in Abschnitt C Abteilung 30 der NACE Rev. 2 genannten wirtschaftlichen Tätigkeiten ausüben
6. Digitale Anbieter
Anbieter von Online-Marktplätzen
Anbieter von Online-Suchmaschinen
Anbieter von Plattformen für soziale Netzwerkdienste
7. Forschung
Forschungsorganisationen
(1) Richtlinie 2008/98/EG des Europäischen Parlaments und des Rates vom 19. November 2008 über Abfälle und zur Aufhebung bestimmter Richtlinien (ABl. L 312 vom 22.11.2008, S. 3).
(2) Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates vom 18. Dezember 2006 zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe (REACH), zur Schaffung einer Europäischen Chemikalienagentur, zur Änderung der Richtlinie 1999/45/EG und zur Aufhebung der Verordnung (EWG) Nr. 793/93 des Rates, der Verordnung (EG) Nr. 1488/94 der Kommission, der Richtlinie 76/769/EWG des Rates sowie der Richtlinien 91/155/EWG, 93/67/EWG, 93/105/EG und 2000/21/EG der Kommission (ABl. L 396 vom 30.12.2006, S. 1).
(3) Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates vom 28. Januar 2002 zur Festlegung der allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts, zur Errichtung der Europäischen Behörde für Lebensmittelsicherheit und zur Festlegung von Verfahren zur Lebensmittelsicherheit (ABl. L 31 vom 1.2.2002, S. 1).
(4) Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1).
(5) Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission (ABl. L 117 vom 5.5.2017, S. 176).

Möchten Sie mehr wissen?

Sprechen Sie mit einem NIS 2-Experten

Treffen Sie sich mit Matt und buchen Sie einen kostenlos 15 Min Rufen Sie unten an, um besser zu verstehen, wie Sie die NIS 2-Konformität in Ihrem Unternehmen implementieren können

Konsultieren Sie einen Spezialisten

oder

Stellen Sie uns Ihre Fragen
Linkedin Youtube

Über uns.

Diese von NIS2Compliant.org kuratierte Seite bietet öffentlich zugängliche Informationen zu allem, was mit der kommenden NIS2-Richtlinie zu tun hat. Sie werden klar und prägnant präsentiert und sind somit leicht zu nutzen.

 

Haftungsausschluss
Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken. Der Inhalt ist kein Ersatz für professionelle Beratung oder sonstige Rechtsberatung, -dienstleistungen usw. Die Administratoren und Mitwirkenden der Website übernehmen keine Zusicherungen oder Gewährleistungen hinsichtlich der Informationen auf der Website. Wenn Sie sich auf diese Informationen verlassen, geschieht dies daher ausschließlich auf Ihr eigenes Risiko.

Mehr Informationen:

Newsfeeds.

In Kontakt kommen.

Buchen Sie ein 15-minütiges Gespräch

Telefon:
00386 41 948 698

Email:
become@nis2compliant.org

Urheberrecht: Nis2Compliant.org