CER directive

Während bestimmte Wirtschaftssektoren wie der Energiesektor und der Verkehrssektor bereits durch sektorspezifische Rechtsakte der Union reguliert sind, enthalten diese Rechtsakte Bestimmungen, die nur bestimmte Aspekte der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; der in diesen Sektoren tätigen Einrichtungen betreffen. Um die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; der Einrichtungen, die für das reibungslose Funktionieren des Binnenmarkts von entscheidender Bedeutung sind, umfassend anzugehen, schafft diese Richtlinie einen übergreifenden Rahmen, der die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen gegenüber allen — durch Naturkatastrophen oder vom Menschen verursachten, unbeabsichtigten oder vorsätzlichen — Gefahren berücksichtigt.

Die wachsenden gegenseitigen Abhängigkeiten zwischen Infrastrukturen und Sektoren sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend verflochtenen Dienstleistungsnetzes, das wichtige Infrastrukturen in der gesamten Union nutzt, und zwar in den Sektoren Energie, Verkehr, Banken, Trinkwasser, Abwasser, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Gesundheit, Weltraum, Finanzmarktinfrastruktur sowie digitale Infrastruktur als auch in bestimmten Bereichen der öffentlichen Verwaltung. Der Weltraumsektor fällt in den Anwendungsbereich dieser Richtlinie in Bezug auf die Erbringung bestimmter Dienste, die von Bodeninfrastrukturen abhängig sind, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden; folglich fallen Infrastrukturen, die sich im Eigentum der Union befinden oder von der Union oder in ihrem Namen im Rahmen ihres Weltraumprogramms verwaltet oder betrieben werden, nicht in den Anwendungsbereich dieser Richtlinie.

Die an der Erbringung wesentlicher Dienste beteiligten Einrichtungen unterliegen zunehmend unterschiedlichen Anforderungen, die sich aus nationalem Recht ergeben. Der Umstand, dass in einigen Mitgliedstaaten weniger strenge Sicherheitsanforderungen für diese Einrichtungen gelten, führt nicht nur zu unterschiedlichen Resilienzniveaus, sondern bringt auch das Risikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird; negativer Auswirkungen auf die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten in der gesamten Union mit sich und führt ferner auch zu Hindernissen für das reibungslose Funktionieren des Binnenmarkts. Investoren und Unternehmen können sich auf resiliente kritische Einrichtungen verlassen und ihnen vertrauen, und Zuverlässigkeit und Vertrauen sind die Eckpfeiler eines gut funktionierenden Binnenmarkts. Ähnliche Arten von Einrichtungen gelten in einigen Mitgliedstaaten als kritisch, in anderen jedoch nicht, und selbst die als kritisch eingestuften Einrichtungen unterliegen in verschiedenen Mitgliedstaaten unterschiedlichen Anforderungen. Dies führt zu zusätzlichem und unnötigem Verwaltungsaufwand für grenzüberschreitend tätige Unternehmen, insbesondere für solche, die in Mitgliedstaaten mit strengeren Anforderungen tätig sind. Ein Unionsrahmen würde daher auch dazu führen, dass die Wettbewerbsbedingungen für kritische Einrichtungen in der gesamten Union angeglichen werden.

Um die Erbringung wesentlicher Dienste im Binnenmarkt sicherzustellen, die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen zu erhöhen und die grenzüberschreitende Zusammenarbeit zwischen den zuständigen Behörden zu verbessern, müssen harmonisierte Mindestvorschriften festgelegt werden. Es ist wichtig, dass diese Vorschriften in Bezug auf ihre Gestaltung und Umsetzung zukunftstauglich sind und gleichzeitig die notwendige Flexibilität bieten. Es ist auch von erheblicher Bedeutung, die Kapazitäten kritischer Einrichtungen für die Erbringung wesentlicher Dienste angesichts vielfältiger Risiken zu verbessern.

Um ein hohes Resilienzniveau zu erreichen, sollten die Mitgliedstaaten kritische Einrichtungen ermitteln, die einerseits besonderen Anforderungen und einer spezifischen Aufsicht unterliegen werden, und die andererseits gegenüber allen entsprechenden Risiken in besonderem Maße unterstützt und mit Leitfäden ausgestattet werden sollen.

Angesichts der Bedeutung der Cybersicherheit für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen und im Sinne der Einheitlichkeit sollte möglichst dafür gesorgt werden, dass der Ansatz dieser Richtlinie und der Ansatz der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(⁵)Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (siehe Seite 80 dieses Amtsblatts). kohärent sind. Im Hinblick auf die häufiger auftretenden Cyberrisiken und ihre besonderen Merkmale sieht die Richtlinie (EU) 2022/2555 für eine Vielzahl von Einrichtungen umfassende Anforderungen vor, die ihre Cybersicherheit gewährleisten sollen. Da die Richtlinie (EU) 2022/2555 das Thema Cybersicherheit ausreichend abdeckt, sollte der Inhalt jener Richtlinie unbeschadet der besonderen Regelungen für Einrichtungen, die im Bereich der digitalen Infrastruktur tätig sind, vom Anwendungsbereich der vorliegenden Richtlinie ausgenommen werden.

Wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; ergreifen müssen und diese Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie von den Mitgliedstaaten als zumindest gleichwertig anerkannt sind, sollten die entsprechenden Bestimmungen dieser Richtlinie keine Anwendung finden, damit Doppelarbeit und unnötiger Aufwand vermieden werden. In diesem Fall sollten die in diesen Rechtsakten der Union festgelegten entsprechenden Bestimmungen Anwendung finden. Wenn die entsprechenden Bestimmungen dieser Richtlinie nicht anwendbar sind, sollten auch die in dieser Richtlinie festgelegten Aufsichts- und Durchsetzungsbestimmungen nicht anwendbar sein.

Diese Richtlinie berührt nicht die Zuständigkeit der Mitgliedstaaten und ihrer Behörden hinsichtlich der Verwaltungsautonomie oder ihre Verantwortung für den Schutz der nationalen Sicherheit und Verteidigung oder ihre Befugnis zum Schutz anderer wesentlicher staatlicher Funktionen, insbesondere in Bezug auf die öffentliche Sicherheit, die territoriale Unversehrtheit und die Aufrechterhaltung der öffentlichen Ordnung. Der Ausschluss von Einrichtungen der öffentlichen Verwaltung vom Anwendungsbereich dieser Richtlinie sollte für Einrichtungen gelten, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausgeübt werden. Jedoch sollten Einrichtungen der öffentlichen Verwaltung, deren Tätigkeiten nur geringfügig mit diesen Bereichen zusammenhängen, in den Anwendungsbereich dieser Richtlinie fallen. Für die Zwecke dieser Richtlinie gelten Einrichtungen mit Regulierungsbefugnissen nicht als Einrichtungen, die Tätigkeiten im Bereich der Strafverfolgung ausüben, und sind demnach nicht vom Anwendungsbereich dieser Richtlinie ausgenommen. Einrichtungen der öffentlichen Verwaltung, die im Einklang mit einer internationalen Übereinkunft gemeinsam mit einem Drittland errichtet wurden, fallen nicht in den Anwendungsbereich dieser Richtlinie. Diese Richtlinie gilt nicht für die diplomatischen und die konsularischen Vertretungen der Mitgliedstaaten in Drittländern.

Um die nationale Sicherheit bzw. die Sicherheit und die geschäftlichen Interessen kritischer Einrichtungen nicht zu gefährden, sollte der Zugang zu sensiblen Informationen, ihr Austausch und der Umgang mit ihnen umsichtig und mit besonderem Augenmerk auf die verwendeten Übertragungskanäle und Speicherkapazitäten erfolgen.

Im Hinblick auf die Gewährleistung eines umfassenden Ansatzes in Bezug auf die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen sollte jeder Mitgliedstaat über eine Strategie zur Verbesserung der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen (im Folgenden „Strategie“) verfügen. Die Strategien sollten die umzusetzenden strategischen Ziele und politischen Maßnahmen festlegen. Im Interesse von Kohärenz und Effizienz sollte die Strategie so konzipiert sein, dass bestehende politische Strategien nahtlos einbezogen werden, wobei nach Möglichkeit auf entsprechenden bestehenden nationalen und sektorbezogenen Strategien, Plänen oder ähnlichen Dokumenten aufgebaut werden sollte. Zur Verwirklichung eines umfassenden Ansatzes sollten die Mitgliedstaaten sicherstellen, dass ihre Strategien in Bezug auf den Informationsaustausch über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie im Zusammenhang mit der Wahrnehmung von Aufsichtsaufgaben einen Rahmen für eine verstärkte Koordinierung zwischen der gemäß der vorliegenden Richtlinie zuständigen Behörde und der gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörde vorsehen. Bei der Einführung ihrer Strategien sollten die Mitgliedstaaten dem hybriden Charakter von Bedrohungen für kritische Einrichtungen gebührend Rechnung tragen.

Die Mitgliedstaaten sollten der Kommission ihre Strategien und deren wesentliche Aktualisierungen mitteilen, um insbesondere die Kommission in die Lage zu versetzen, die ordnungsgemäße Anwendung dieser Richtlinie in Bezug auf politische Ansätze für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen auf nationaler Ebene zu bewerten. Die Strategien könnten erforderlichenfalls als Verschlusssache übermittelt werden. Die Kommission sollte einen zusammenfassenden Bericht über die von den Mitgliedstaaten übermittelten Strategien erstellen, der als Grundlage für den Austausch dienen soll, um bewährte Verfahren und Fragen von gemeinsamem Interesse im Rahmen einer Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen zu ermitteln. In Anbetracht der Sensibilität der im zusammenfassenden Bericht enthaltenen aggregierten Informationen — unabhängig davon, ob sie als Verschlusssache eingestuft sind oder nicht —, sollte die Kommission den zusammenfassenden Bericht mit dem angemessenen Maß an Bewusstsein für die Sicherheit der kritischen Einrichtungen, der Mitgliedstaaten und der Union verwalten. Damit die Ziele dieser Richtlinie erreicht werden, sollten der zusammenfassende Bericht und die Strategien vor rechtswidrigen oder böswilligen Handlungen geschützt werden und nur befugten Personen zugänglich sein. Die Übermittlung der Strategien und ihrer wesentlichen Aktualisierungen sollte auch dazu beitragen, dass die Kommission, die Entwicklungen bei den Ansätzen für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen versteht, und in die Überwachung der Auswirkungen und des Mehrwerts dieser Richtlinie einfließen, die die Kommission regelmäßig zu überprüfen hat.

Die Maßnahmen der Mitgliedstaaten zur Ermittlung der kritischen Einrichtungen und zur Gewährleistung ihrer Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; sollten einem risikobasierten Ansatz folgen, bei dem diejenigen Einrichtungen im Fokus stehen, die für die Erfüllung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am bedeutendsten sind. Um einen solchen gezielten Ansatz zu ermöglichen, sollte jeder Mitgliedstaat innerhalb eines harmonisierten Rahmens eine Bewertung der entsprechenden natürlichen und vom Menschen verursachten Risiken — einschließlich Risiken grenzüberschreitender oder sektorübergreifender Art — vornehmen, die sich auf die Erbringung wesentlicher Dienste auswirken könnten, wie Unfälle, Naturkatastrophen, gesundheitliche Notlagen wie etwa Pandemien und hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, krimineller Unterwanderung und Sabotage (im Folgenden „Risikobewertungden gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden; durch Mitgliedstaaten“). Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten sollten die Mitgliedstaaten andere allgemeine oder sektorspezifische Risikobewertungen berücksichtigen, die gemäß anderen Unionsrechtsakten durchgeführt werden, und das Ausmaß der Abhängigkeit zwischen Sektoren, auch in Bezug auf Sektoren in anderen Mitgliedstaaten und Drittländern, Rechnung tragen. Die Ergebnisse der Risikobewertungen durch Mitgliedstaaten sollten bei der Ermittlung kritischer Einrichtungen verwendet werden sowie dazu, diese bei der Erfüllung ihrer Resilienzanforderungen zu unterstützen. Diese Richtlinie gilt nur für die Mitgliedstaaten und für die kritischen Einrichtungen, die in der Union tätig sind. Dennoch könnten die Fachkenntnisse und das Wissen, die von den zuständigen Behörden, insbesondere durch Risikobewertungen, sowie von der Kommission, insbesondere durch verschiedene Formen der Unterstützung und Zusammenarbeit, gewonnen werden, gegebenenfalls und im Einklang mit den geltenden Rechtsinstrumenten zugunsten von Drittländern — insbesondere derjenigen in der unmittelbaren Nachbarschaft der Union — genutzt werden, indem sie in die bestehende Zusammenarbeit im Bereich der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; einfließen.

Um sicherzustellen, dass alle entsprechenden Einrichtungen den Resilienzanforderungen dieser Richtlinie unterliegen, und um diesbezügliche Unterschiede zu verringern, ist es wichtig, harmonisierte Vorschriften festzulegen, die eine einheitliche Ermittlung kritischer Einrichtungen in der gesamten Union ermöglichen und die es den Mitgliedstaaten dennoch auch erlauben, den Aufgaben und der Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen. Unter Anwendung der in dieser Richtlinie festgelegten Kriterien sollte jeder Mitgliedstaat Einrichtungen ermitteln, die einen oder mehrere wesentliche Dienste erbringen und die in seinem Hoheitsgebiet tätig sind und ihre kritischen Infrastrukturen befinden sich dort. Es sollte davon ausgegangen werden, dass eine Einrichtung im Hoheitsgebiet des Mitgliedstaats tätig ist, in dem sie Tätigkeiten ausübt, die für den betreffenden wesentlichen Dienst bzw. für die betreffenden wesentlichen Dienste erforderlich sind, und in dem sich die kritische Infrastruktur dieser Einrichtung, die zur Erbringung dieses Dienstes bzw. dieser Dienste genutzt wird, befindet. Wenn es in einem Mitgliedstaat keine Einrichtung gibt, die diese Kriterien erfüllt, sollte dieser Mitgliedstaat nicht verpflichtet sein, eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; in dem entsprechenden Sektor oder Teilsektor zu ermitteln. Im Interesse der Wirksamkeit, Effizienz, Kohärenz und Rechtssicherheit sollten geeignete Vorschriften festgelegt werden, um Einrichtungen mitzuteilen, dass sie als kritische Einrichtungen eingestuft wurden.

Die Mitgliedstaaten sollten der Kommission in einer Form, die die Ziele dieser Richtlinie erfüllt, eine Liste der wesentlichen Dienste, die Anzahl der für jeden der im Anhang genannten Sektoren und Teilsektoren ermittelten kritischen Einrichtungen und für den bzw. die von jeder Einrichtung geleisteten wesentlichen Dienst bzw. Dienste sowie die gegebenenfalls angewandten Schwellenwerte übermitteln. Schwellenwerte sollten als solche oder in aggregierter Form dargestellt werden können, d. h. die Informationen können gemittelt nach geografischem Gebiet, Jahr, Sektor, Teilsektor oder nach anderen Kriterien angegeben werden und Informationen über die Bandbreite der angegebenen Indikatoren enthalten.

Es sollten Kriterien festgelegt werden, um das Ausmaß einer durch einen Sicherheitsvorfallein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; verursachten Störung zu bestimmen. Diese Kriterien sollten sich an den in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates(⁶)Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1). festgelegten Kriterien orientieren, um die Anstrengungen der Mitgliedstaaten zur Ermittlung der Betreiber wesentlicher Dienste im Sinne jener Richtlinie und die diesbezüglich gewonnenen Erfahrungen zu nutzen. Schwere Krisen wie die COVID-19-Pandemie haben gezeigt, wie wichtig es ist, die Sicherheit der Lieferketten zu gewährleisten, und wie deren Unterbrechung negative wirtschaftliche und gesellschaftliche Auswirkungen in sehr vielen Sektoren und auf grenzüberschreitender Ebene haben kann. Daher sollten die Mitgliedstaaten bei der Bestimmung des Ausmaßes der Abhängigkeit anderer Sektoren und Teilsektoren von wesentlichen Diensten einer kritischen Einrichtung so weit wie möglich auch die Auswirkungen auf die Lieferketten berücksichtigen.

Im Einklang mit geltendem Unionsrecht und nationalem Recht, einschließlich der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates(⁷)Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates vom 19. März 2019 zur Schaffung eines Rahmens für die Überprüfung ausländischer Direktinvestitionen in der Union (ABl. L 79 I vom 21.3.2019, S. 1)., mit der ein Rahmen für die Überprüfung ausländischer Direktinvestitionen in der Union geschaffen wurde, muss die potenzielle Bedrohung durch ausländische Beteiligungen an kritischen Infrastrukturen in der Union anerkannt werden, da Dienste, die Wirtschaft, die Freizügigkeit und die Sicherheit der Unionsbürgerinnen und Unionsbürger vom ordnungsgemäßen Funktionieren der kritischen Infrastrukturen abhängen.

Mit der Richtlinie (EU) 2022/2555 werden Einrichtungen im Bereich digitale Infrastruktur, die für eine Einstufung als kritische Einrichtungen im Sinne dieser Richtlinie in Frage kommen könnten, verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, und erhebliche Sicherheitsvorfälle und Cyberbedrohungen zu melden. Da Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, wird in der Richtlinie (EU) 2022/2555 ein „gefahrenübergreifender“ Ansatz angewandt, der die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.

Die Rechtsvorschriften der Union für Finanzdienstleistungen enthalten umfassende Anforderungen für Finanzunternehmen in Bezug auf die Steuerung aller ihrer Risiken, einschließlich der operationellen Risiken, und die Aufrechterhaltung des Betriebs. Diese Rechtsvorschriften umfassen die Verordnungen (EU) Nr. 648/2012(⁸)Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1). (EU) Nr. 575/2013(⁹)Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1). und (EU) Nr. 600/2014(¹⁰)Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 173 vom 12.6.2014, S. 84). des Europäischen Parlaments und des Rates und die Richtlinien 2013/36/EU(¹¹)Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (ABl. L 176 vom 27.6.2013, S. 338). und 2014/65/EU(¹²)Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (ABl. L 173 vom 12.6.2014, S. 349). des Europäischen Parlaments und des Rates. Dieser Rechtsrahmen wird durch die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(¹³)Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (siehe Seite 1 dieses Amtsblatts). ergänzt, in der Anforderungen an Finanzunternehmen in Bezug auf den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) und einschließlich hinsichtlich des Schutzes physischer IKT-Infrastrukturen festgelegt sind. Da die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; dieser Einrichtungen daher umfassend abgedeckt wird, sollten Artikel 11 und die Kapitel III, IV und VI dieser Richtlinie nicht für diese Einrichtungen gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden.

Die Mitgliedstaaten sollten Behörden benennen oder einrichten, die für die Überwachung der Anwendung dieser Richtlinie und erforderlichenfalls für die Durchsetzung ihrer Vorschriften zuständig sind, und dafür sorgen, dass diese Behörden über angemessene Befugnisse und Ressourcen verfügen. Angesichts der unterschiedlichen nationalen Verwaltungsstrukturen, um bestehende sektorbezogene Vereinbarungen oder Aufsichts- und Regulierungsstellen der Union beizubehalten und um Doppelarbeit zu vermeiden, sollten die Mitgliedstaaten befugt sein, mehr als eine zuständige Behörde zu benennen oder einzurichten. Wenn die Mitgliedstaaten mehr als eine zuständige Behörde benennen oder einrichten, sollten sie die jeweiligen Aufgaben der betreffenden Behörden klar abgrenzen und sicherstellen, dass sie reibungslos und wirksam zusammenarbeiten. Alle zuständigen Behörden sollten auch generell sowohl auf Unionsebene als auch auf nationaler Ebene mit anderen entsprechenden Behörden zusammenarbeiten.

Zur Erleichterung der grenzüberschreitenden Zusammenarbeit und Kommunikation, und um die effektive Umsetzung dieser Richtlinie zu ermöglichen, sollte jeder Mitgliedstaat unbeschadet der Anforderungen der sektorbezogenen Rechtsakte der Union eine — gegebenenfalls innerhalb einer zuständigen Behörde angesiedelte —zentrale Anlaufstelle benennen, die für die Koordinierung von Fragen im Zusammenhang mit der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen und für die grenzüberschreitende Zusammenarbeit auf Unionsebene zuständig ist (im Folgenden „zentrale Anlaufstelle“). Jede zentrale Anlaufstelle sollte mit den zuständigen Behörden ihres Mitgliedstaats, mit den zentralen Anlaufstellen anderer Mitgliedstaaten und mit der Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen in Kontakt stehen und gegebenenfalls die Kommunikation mit ihnen abstimmen.

Die gemäß der vorliegenden Richtlinie und gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle sowie nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle, die kritische Einrichtungen betreffen, und in Bezug auf entsprechende Maßnahmen, die von gemäß der vorliegenden Richtlinie und der Richtlinie 2022/2555 zuständigen Behörden ergriffen werden, zusammenarbeiten und Informationen austauschen. Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die Anforderungen nach der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 komplementär umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser und jener Richtlinie erforderliche Maß hinausgeht.

Unbeschadet der eigenen rechtlichen Verantwortung der kritischen Einrichtungen, die in der vorliegenden Richtlinie enthaltenen Verpflichtungen einzuhalten, sollten die Mitgliedstaaten die kritischen Einrichtungen, insbesondere jene, die als kleine oder mittlere Unternehmen einzustufen sind, im Einklang mit den Verpflichtungen von Mitgliedstaaten aus der vorliegenden Richtlinie beim Ausbau ihrer Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; unterstützen und dabei übermäßigem Verwaltungsaufwand vorbeugen. Die Mitgliedstaaten könnten insbesondere Leitfäden und Methoden für ihre kritischen Einrichtungen entwickeln, sie bei der Organisation von Übungen zur Überprüfung der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen unterstützen sowie Beratung und Schulungen für das Personal kritischer Einrichtungen bereitstellen. Sofern dies erforderlich und durch Ziele des Allgemeininteresses gerechtfertigt ist, könnten die Mitgliedstaaten Finanzmittel bereitstellen und sollten unbeschadet der Anwendung der im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) festgelegten Wettbewerbsregeln den freiwilligen Informationsaustausch und den Austausch bewährter Verfahren zwischen kritischen Einrichtungen erleichtern.

Um die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; der von den Mitgliedstaaten ermittelten kritischen Einrichtungen zu verbessern und den Verwaltungsaufwand für diese kritischen Einrichtungen zu verringern, sollten die zuständigen Behörden einander gegebenenfalls zur Sicherstellung einer einheitlichen Anwendung dieser Richtlinie konsultieren. Diese Konsultationen sollten auf Antrag jeder interessierten zuständigen Behörde aufgenommen werden, und sie sollten darauf ausgerichtet sein, einen konvergenten Ansatz bezüglich miteinander verknüpfter kritischer Einrichtungen sicherzustellen, die kritische InfrastrukturenObjekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind; mit physischen Verbindungen zwischen zwei oder mehr Mitgliedstaaten nutzen, die derselben Gruppe oder Unternehmensstruktur angehören oder die in einem Mitgliedstaat ermittelt wurden und die wesentliche Dienste für andere oder in anderen Mitgliedstaaten erbringen.

Sind kritische Einrichtungen aufgrund von Bestimmungen des Unionsrechts oder des nationalen Rechts verpflichtet, für die Zwecke dieser Richtlinie relevante Risiken zu bewerten und Maßnahmen zur Gewährleistung ihrer eigenen Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; zu ergreifen, so sollten diese Anforderungen angemessen berücksichtigt werden, wenn es darum geht zu überwachen, ob kritische Einrichtungen diese Richtlinie einhalten.

Den kritischen Einrichtungen sollten die entsprechenden Risiken, denen sie ausgesetzt sind, in ihrer Gesamtheit bekannt sein, und sie sollten verpflichtet sein, diese Risiken zu analysieren. Zu diesem Zweck sollten sie immer, wenn ihre besondere Situation oder die Entwicklung der Risiken dies erfordern, und in jedem Fall alle vier Jahre Risikobewertungen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten (im Folgenden „Risikobewertungden gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden; durch kritische Einrichtungen“). Haben kritische Einrichtungen aufgrund von Verpflichtungen aus anderen Rechtsakten andere Risikobewertungen vorgenommen oder Dokumente erstellt, die für die Risikobewertungden gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden; durch kritische Einrichtungen nach der vorliegenden Richtlinie relevant sind, so sollten sie diese Bewertungen und Dokumente verwenden können, um die in der vorliegenden Richtlinie hinsichtlich der Risikobewertungen durch kritische Einrichtungen festgelegten Anforderungen zu erfüllen. Eine zuständige Behörde sollte in der Lage sein zu erklären, dass eine, durch eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; durchgeführte, bestehende Risikobewertungden gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden;, die sich mit den entsprechenden Risiken und dem entsprechenden Ausmaß der Abhängigkeiten befasst, ganz oder teilweise den in dieser Richtlinie festgelegten Verpflichtungen entspricht.

Die kritischen Einrichtungen sollten technische, sicherheitsbezogene und organisatorische Maßnahmen ergreifen, die angemessen und geeignet sind für die Risiken, denen sie ausgesetzt sind, und um einen Sicherheitsvorfallein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; zu verhindern, davor zu schützen, darauf zu reagieren, ihn abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, ihn aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen. Während die kritischen Einrichtungen diese Maßnahmen im Einklang mit der vorliegenden Richtlinie ergreifen sollten, sollten die Einzelheiten und der Umfang solcher Maßnahmen die einzelnen Risiken, die jede kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; im Rahmen ihrer Risikobewertungden gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden; durch kritische Einrichtungen ermittelt hat, und die besondere Situation der betreffenden Einrichtung auf angemessene und verhältnismäßige Weise widerspiegeln. Damit ein einheitlicher Ansatz der Union gefördert wird, sollte die Kommission nach Konsultation der Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen nicht verbindliche Leitlinien erlassen, in denen diese technischen, sicherheitsbezogenen und organisatorischen Maßnahmen näher ausgeführt werden. Die Mitgliedstaaten sollten sicherstellen, dass jede kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.

Um diese Ziele in Bezug auf die ermittelten Risiken zu erreichen, sollten kritische Einrichtungen die von ihnen ergriffenen Maßnahmen — auch im Interesse der Rechenschaftspflicht und der Wirksamkeit der Maßnahmen — in einem Resilienzplan oder in einem oder mehreren Dokumenten, die einem Resilienzplan gleichwertig sind, hinreichend detailliert beschreiben und diesen Plan in der Praxis anwenden. Hat eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; bereits technische, sicherheitsbezogene und organisatorische Maßnahmen ergriffen und Dokumente gemäß anderen Rechtsakten erstellt, die für Maßnahmen zur Verbesserung der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; nach dieser Richtlinie relevant sind, so sollte sie, um Doppelarbeit zu vermeiden, in der Lage sein, diese Maßnahmen und Dokumente zu nutzen, um den Verpflichtungen in Bezug auf die Resilienzmaßnahmen gemäß der vorliegenden Richtlinie nachzukommen. Um Doppelarbeit zu vermeiden, sollte eine zuständige Behörde in der Lage sein, zu erklären, dass bestehende Resilienzmaßnahmen, die von einer kritischen Einrichtung ergriffen wurden, mit denen ihre Verpflichtung, technische, sicherheitsbezogene und organisatorische Maßnahmen gemäß der vorliegenden Richtlinie zu ergreifen, angegangen wird, ganz oder teilweise den Anforderungen dieser Richtlinie entsprechen.

Die Verordnungen (EG) Nr. 725/2004(¹⁴)Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen (ABl. L 129 vom 29.4.2004, S. 6). und (EG) Nr. 300/2008(¹⁵)Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) Nr. 2320/2002 (ABl. L 97 vom 9.4.2008, S. 72). des Europäischen Parlaments und des Rates sowie die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates(¹⁶)Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen (ABl. L 310 vom 25.11.2005, S. 28). enthalten Verpflichtungen für im Luft- und Seeverkehr tätige Einrichtungen, die darauf abstellen, Sicherheitsvorfälle, die auf rechtswidrige Handlungen zurückzuführen sind, zu verhindern und abzuwehren und die Folgen solcher Vorfälle zu begrenzen. Zwar sind die in dieser Richtlinie geforderten Maßnahmen breiter gefasst, was die zu behandelnden Risiken und die Art der zu ergreifenden Maßnahmen angeht, doch sollten die kritischen Einrichtungen in den betreffenden Sektoren in ihrem Resilienzplan oder gleichwertigen Dokumenten auch auf die gemäß jenen anderen Rechtsakten der Union ergriffenen Maßnahmen eingehen. Kritische Einrichtungen haben auch die Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates(¹⁷)Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates vom 19. November 2008 über ein Sicherheitsmanagement für die Straßenverkehrsinfrastruktur (ABl. L 319 vom 29.11.2008, S. 59). zu berücksichtigen, mit der eine netzweite Bewertung der Straßen, um die Unfallrisiken abzubilden, sowie eine gezielte Straßensicherheitsüberprüfung eingeführt wird, um auf der Grundlage von Ortsbesichtigungen von bestehenden Straßen oder bestehenden Straßenabschnitten gefährliche Zustände, Mängel und Probleme zu ermitteln, die das Unfall- und Verletzungsrisiko erhöhen. Die Sicherstellung des Schutzes und der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen ist für den Eisenbahnsektor von größter Bedeutung, und kritische Einrichtungen werden ermutigt, bei der Umsetzung von Resilienzmaßnahmen nach der vorliegenden Richtlinie auf nicht verbindliche Leitlinien und Dokumente über bewährte Verfahren zu verweisen, die im Rahmen sektorspezifischer Initiativen, wie etwa der durch den Beschluss 2018/C 232/03 der Kommission(¹⁸)Beschluss der Kommission vom 29. Juni 2018 zur Einrichtung der EU-Plattform für die Sicherheit im Schienenpersonenverkehr (ABl. C 232 vom 3.7.2018, S. 10). eingerichteten EU-Plattform für die Sicherheit im Schienenpersonenverkehr, ausgearbeitet wurden.

Das Risikodas Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;, dass Mitarbeiter kritischer Einrichtungen oder ihre Auftragnehmer beispielsweise ihre Zugangsrechte innerhalb der Organisation der kritischen Einrichtung missbrauchen, um Schaden zu verursachen, gibt zunehmend Anlass zur Sorge. Die Mitgliedstaaten sollten daher die Bedingungen präzisieren, unter denen kritische Einrichtungen in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertungen durch Mitgliedstaaten Anträge auf Zuverlässigkeitsüberprüfungen von Personen stellen dürfen, die bestimmten Kategorien ihres Personals angehören. Es sollte sichergestellt werden, dass die entsprechenden Behörden die Anträge innerhalb eines angemessenen Zeitrahmens prüfen und im Einklang mit dem nationalen Recht und den Verfahren sowie mit dem entsprechenden geltenden Unionsrecht, auch hinsichtlich des Schutzes personenbezogener Daten, verarbeiten. Um sich der Identität einer Person zu vergewissern, die einer Zuverlässigkeitsüberprüfung unterzogen wird, ist es angezeigt, dass die Mitgliedstaaten im Einklang mit dem geltenden Recht einen Identitätsnachweis wie einen Reisepass, einen nationalen Personalausweis oder eine digitale Form des Identitätsnachweises verlangen.

Es sollte ein Mechanismus für die Meldung bestimmter Sicherheitsvorfälle eingerichtet werden, um es den zuständigen Behörden zu ermöglichen, rasch und angemessen auf Sicherheitsvorfälle zu reagieren und sich einen umfassenden Überblick über die Auswirkungen, die Art, die Ursache und die möglichen Folgen von Sicherheitsvorfällen, die die kritischen Einrichtungen betreffen, zu verschaffen. Kritische Einrichtungen sollten den zuständigen Behörden unverzüglich Sicherheitsvorfälle melden, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten. Außer wenn dies in operativer Hinsicht nicht möglich ist, sollten kritische Einrichtungen spätestens 24 Stunden, nachdem sie Kenntnis von einem Sicherheitsvorfallein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; erhalten haben, eine Erstmeldung übermitteln. Die Erstmeldung sollte nur die Informationen enthalten, die unbedingt erforderlich sind, um die zuständige Behörde über den Sicherheitsvorfallein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; zu unterrichten und es der kritischen Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. In einer solchen Meldung sollte, soweit möglich, die mutmaßliche Ursache des Sicherheitsvorfallsein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; angegeben werden. Die Mitgliedstaaten sollten sicherstellen, dass durch die Pflicht zur Übermittlung dieser Erstmeldung die Ressourcen der kritischen Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen, die Vorrang haben sollten, nicht beeinträchtigt werden. Der Erstmeldung sollte gegebenenfalls spätestens einen Monat nach dem Sicherheitsvorfallein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; ein ausführlicher Bericht folgen. Der ausführliche Bericht sollte die ursprüngliche Meldung ergänzen und einen vollständigeren Überblick über den Sicherheitsvorfallein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit; bieten.

Die Normung sollte in erster Linie ein marktorientierter Vorgang bleiben. Es gibt jedoch möglicherweise noch immer Situationen, in denen es sich empfiehlt, die Einhaltung bestimmter Normen zu fordern. Die Mitgliedstaaten sollten, wenn dies sinnvoll ist, die Verwendung von europäischen und internationalen Normen und technischen Spezifikationen fördern, die für die Maßnahmen zur Sicherheit und Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen relevant sind.

Zwar sind kritische Einrichtungen in der Regel als Teil eines immer stärker verflochtenen Dienstleistungs- und Infrastrukturnetzes tätig und erbringen häufig wesentliche Dienste in mehr als einem Mitgliedstaat, doch sind einige dieser kritischen Einrichtungen für die Union und ihren Binnenmarkt von besonderer Bedeutung, da sie wesentliche Dienste für oder in sechs oder mehr Mitgliedstaaten erbringen und daher in den Genuss einer spezifischen Unterstützung auf Unionsebene kommen könnten. Daher sollten für Beratungsmissionen in Bezug auf solche kritischen Einrichtungen, die von besonderer Bedeutung für Europa sind, Vorschriften festgelegt werden. Diese Vorschriften sollten die Aufsichts- und Durchsetzungsvorschriften der vorliegenden Richtlinie unberührt lassen.

Sind zusätzliche Informationen erforderlich, um eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; bei der Erfüllung ihrer Verpflichtungen nach dieser Richtlinie beraten zu können oder um zu bewerten, ob eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; von besonderer Bedeutung für Europa diese Verpflichtungen erfüllt, so sollte der Mitgliedstaat, der eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; von besonderer Bedeutung für Europa als kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; ermittelt hat, auf ein begründetes Ersuchen der Kommission oder eines oder mehrerer Mitgliedstaaten, für die oder in denen der wesentliche Dienst erbracht wird, der Kommission bestimmte Informationen gemäß der vorliegenden Richtlinie bereitstellen. Die Kommission sollte im Einvernehmen mit dem Mitgliedstaat, der die kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; von besonderer Bedeutung für Europa als eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; eingestuft hat, in der Lage sein, eine Beratungsmission zur Bewertung der von dieser Einrichtung ergriffenen Maßnahmen zu organisieren. Um sicherzustellen, dass diese Beratungsmissionen ordnungsgemäß durchgeführt werden, sollten insbesondere in Bezug auf die Organisation und Durchführung von Beratungsmissionen, die zu ergreifenden Folgemaßnahmen und die Verpflichtungen, die sich für die betreffenden kritischen Einrichtungen von besonderer Bedeutung für Europa in diesem Zusammenhang ergeben, ergänzende Vorschriften festgelegt werden. Unbeschadet dessen, dass der Mitgliedstaat, in dem die Beratungsmission durchgeführt wird, sowie die betreffende kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; die in dieser Richtlinie festgelegten Vorschriften einhalten müssen, sollten die Beratungsmissionen den Rechtsvorschriften dieses Mitgliedstaats — beispielsweise über die genauen Bedingungen für den Zugang zu den entsprechenden Räumlichkeiten oder Dokumenten und über Rechtsbehelfe — unterliegen. Das für solche Beratungsmissionen erforderliche spezifische Fachwissen könnte gegebenenfalls über das durch den Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates(²²)Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates vom 17. Dezember 2013 über ein Katastrophenschutzverfahren der Union (ABl. L 347 vom 20.12.2013, S. 924). eingerichtete Zentrum für die Koordination von Notfallmaßnahmen angefordert werden.

Um die Kommission zu unterstützen und die Zusammenarbeit zwischen den Mitgliedstaaten sowie den Austausch von Informationen und bewährten Verfahren zu Fragen im Zusammenhang mit dieser Richtlinie zu erleichtern, sollte eine Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen als Expertengruppe der Kommission eingerichtet werden. Die Mitgliedstaaten sollten sich bemühen, eine wirksame und effiziente Zusammenarbeit der benannten Vertreter ihrer zuständigen Behörden in der Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen sicherzustellen, indem sie gegebenenfalls Vertreter benennen, die über eine Sicherheitsermächtigung verfügen. Die Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen sollte ihre Arbeit so bald wie möglich aufnehmen, damit während der Umsetzungsfrist dieser Richtlinie bereits zusätzliche Mittel für eine angemessene Zusammenarbeit zur Verfügung stehen. Die Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen sollte mit anderen entsprechenden sektorspezifischen Expertengruppen interagieren.

Die Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen sollte mit der durch die Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe zusammenarbeiten, um einen umfassenden Rahmen für die Cyberresilienz und die nicht cyberbezogene Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen unterstützen. Die Gruppe für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen und die durch die Richtlinie (EU) 2022/2555 eingesetzte Kooperationsgruppe sollten einen regelmäßigen Dialog aufnehmen, um die Zusammenarbeit zwischen den gemäß der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 zuständigen Behörden zu fördern und den Informationsaustausch insbesondere zu Themen, die für beide Gruppen von Belang sind, zu erleichtern.

Zur Verwirklichung der Ziele dieser Richtlinie und unbeschadet der rechtlichen Verantwortung der Mitgliedstaaten und der kritischen Einrichtungen, für die Erfüllung ihrer jeweiligen in der Richtlinie festgelegten Verpflichtungen zu sorgen, sollte die Kommission, sofern sie dies für angemessen hält, zuständige Behörden und kritische Einrichtungen unterstützen, um diesen die Erfüllung ihrer entsprechenden Verpflichtungen zu erleichtern. Bei der Unterstützung der Mitgliedstaaten und kritischen Einrichtungen bei der Umsetzung der Verpflichtungen aus dieser Richtlinie sollte die Kommission auf bestehenden Strukturen und Instrumenten aufbauen, beispielsweise auf denjenigen im Rahmen des mit dem Beschluss Nr. 1313/2013/EU eingerichteten Katastrophenschutzverfahrens der Union und dem Europäischen Referenznetz für den Schutz kritischer Infrastrukturen. Darüber hinaus sollte sie die Mitgliedstaaten über die Ressourcen unterrichten, die auf Unionsebene verfügbar sind, wie etwa im Rahmen des durch die Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates(²³)Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates vom 7. Juli 2021 zur Einrichtung des Fonds für die innere Sicherheit (ABl. L 251 vom 15.7.2021, S. 94). eingerichteten Fonds für die innere Sicherheit, des durch die Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates(²⁴)Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates vom 28. April 2021 zur Einrichtung von „Horizont Europa“, dem Rahmenprogramm für Forschung und Innovation, sowie über dessen Regeln für die Beteiligung und die Verbreitung der Ergebnisse und zur Aufhebung der Verordnungen (EU) Nr. 1290/2013 und (EU) Nr. 1291/2013 (ABl. L 170 vom 12.5.2021, S. 1). eingerichteten Programms „Horizont Europa“ oder anderer für die Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen relevanter Instrumente.

Die Mitgliedstaaten sollten dafür sorgen, dass ihre zuständigen Behörden über bestimmte spezifische Befugnisse für die ordnungsgemäße Anwendung und Durchsetzung dieser Richtlinie in Bezug auf kritische Einrichtungen verfügen, die gemäß dieser Richtlinie ihrer rechtlichen Zuständigkeit unterliegen. Diese Befugnisse sollten insbesondere die Möglichkeit umfassen, Inspektionen und Audits durchzuführen, Aufsichtsmaßnahmen durchzuführen, kritische Einrichtungen dazu zu verpflichten, Informationen und Nachweise über die Maßnahmen vorzulegen, die sie zur Erfüllung ihrer Verpflichtungen ergriffen haben, und erforderlichenfalls Anordnungen zur Behebung festgestellter Verstöße zu erlassen. Beim Erlass solcher Anordnungen sollten die Mitgliedstaaten keine Maßnahmen vorschreiben, die über das hinausgehen, was erforderlich und verhältnismäßig ist, um die Erfüllung der jeweiligen Verpflichtung durch die betreffende kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; sicherzustellen, wobei insbesondere der Schwere des Verstoßes und der wirtschaftlichen Leistungsfähigkeit der betreffenden kritischen Einrichtung Rechnung zu tragen ist. Generell sollten diese Befugnisse mit angemessenen und wirksamen Garantien einhergehen, die im nationalen Recht im Einklang mit der Charta der Grundrechte der Europäischen Union festzulegen sind. Im Zuge der Bewertung, ob eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; ihre, in dieser Richtlinie festgelegten Verpflichtungen erfüllt, sollten die nach der vorliegenden Richtlinie zuständigen Behörden die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine in den Anwendungsbereich jener Richtlinie fallende Einrichtung auszuüben, die gemäß der vorliegenden Richtlinie als eine kritische Einrichtungeine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat; eingestuft wurde. Die gemäß der vorliegenden Richtlinie zuständigen Behörden und die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen.

Um diese Richtlinie wirksam und kohärent anzuwenden, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zur Ergänzung dieser Richtlinie durch die Erstellung einer Liste der wesentlichen Dienste zu erlassen. Diese Liste sollte von den zuständigen Behörden für die Zwecke der Durchführung von Risikobewertungen durch Mitgliedstaaten und für die Ermittlung kritischer Einrichtungen gemäß dieser Richtlinie verwendet werden. In Anbetracht des in dieser Richtlinie verfolgten Ansatzes der Mindestharmonisierung ist diese Liste nicht erschöpfend, und die Mitgliedstaaten könnten sie durch zusätzliche wesentliche Dienste auf nationaler Ebene ergänzen, um nationalen Besonderheiten bei der Erbringung wesentlicher Dienste Rechnung zu tragen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung(²⁵)ABl. L 123 vom 12.5.2016, S. 1. niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Richtlinie sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(²⁶)Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13). ausgeübt werden.

Da die Ziele dieser Richtlinie, nämlich die Gewährleistung der Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung sind, und die Verbesserung der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; der diese Dienste erbringenden kritischen Einrichtungen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen der Wirkung der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(²⁷)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39). angehört und hat am 11. August 2021 eine Stellungnahme abgegeben.

Die Richtlinie 2008/114/EG sollte daher aufgehoben werden —