Artikel 1 Gegenstand und Anwendungsbereich

In der Richtlinie 2008/114/EG des Rates(⁴)Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (ABl. L 345 vom 23.12.2008, S. 75). ist ein Verfahren für die Ausweisung europäischer kritischer Infrastrukturen im Energiesektor und im Verkehrssektor vorgesehen, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen in mindestens zwei Mitgliedstaaten hätte. Den Schwerpunkt jener Richtlinie bildet ausschließlich der Schutz solcher Infrastrukturen. Bei der im Jahr 2019 durchgeführten Evaluierung der Richtlinie 2008/114/EG wurde jedoch festgestellt, dass aufgrund des zunehmend vernetzten und grenzüberschreitenden Charakters von Tätigkeiten, bei denen kritische Infrastrukturen genutzt werden, Schutzmaßnahmen für einzelne Objekte allein nicht ausreichen, um alle Störungen zu verhindern. Deshalb muss der Ansatz geändert und mit ihm sichergestellt werden, dass Risiken besser berücksichtigt werden, dass die Aufgaben und die Pflichten der kritischen Einrichtungen als Anbieter von Diensten, die für das Funktionieren des Binnenmarkts wesentlich sind, genauer festgelegt werden und kohärent sind und dass Unionsvorschriften angenommen werden, um die Resilienz kritischer Einrichtungen zu verbessern. So sollten kritische Einrichtungen in der Lage sein, ihre Fähigkeit zu stärken, Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste stören könnten, zu verhindern, sich davor zu schützen, darauf zu reagieren, sie abzuwehren, zu begrenzen, aufzufangen, zu bewältigen und sich von solchen Vorfällen zu erholen.

Zwar wird mit einer Reihe von Maßnahmen sowohl auf Unionsebene, wie das Europäische Programm für den Schutz kritischer Infrastrukturen, als auch auf nationaler Ebene die Unterstützung des Schutzes kritischer Infrastrukturen in der Union angestrebt, jedoch sollte noch mehr unternommen werden, um die Einrichtungen, die solche Infrastrukturen betreiben, besser auszustatten, um auf Risiken für ihren Betrieb reagieren zu können, die zur Störung der Erbringung von wesentlichen Diensten führen könnten. Es sollte auch mehr unternommen werden, damit diese Einrichtungen besser ausgestattet sind, da eine dynamische Bedrohungslage besteht, die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren einschließt. Ferner besteht ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel, der die Häufigkeit und das Ausmaß von Wetterextremen erhöht und zu langfristigen Veränderungen der durchschnittlichen Klimaverhältnisse führt, die die Kapazität, Effizienz und Lebensdauer bestimmter Infrastrukturarten verringern können, wenn keine Maßnahmen zur Anpassung an den Klimawandel getroffen werden. Darüber hinaus erfolgt die Ermittlung kritischer Einrichtungen im Binnenmarkt uneinheitlich, denn die entsprechenden Sektoren und Kategorien von Einrichtungen werden nicht in allen Mitgliedstaaten kohärent als kritisch eingestuft. Mit dieser Richtlinie sollte daher ein solides Maß an Harmonisierung in Bezug auf die in ihren Anwendungsbereich fallenden Sektoren und Kategorien von Einrichtungen erreicht werden.

Während bestimmte Wirtschaftssektoren wie der Energiesektor und der Verkehrssektor bereits durch sektorspezifische Rechtsakte der Union reguliert sind, enthalten diese Rechtsakte Bestimmungen, die nur bestimmte Aspekte der Resilienz der in diesen Sektoren tätigen Einrichtungen betreffen. Um die Resilienz der Einrichtungen, die für das reibungslose Funktionieren des Binnenmarkts von entscheidender Bedeutung sind, umfassend anzugehen, schafft diese Richtlinie einen übergreifenden Rahmen, der die Resilienz kritischer Einrichtungen gegenüber allen — durch Naturkatastrophen oder vom Menschen verursachten, unbeabsichtigten oder vorsätzlichen — Gefahren berücksichtigt.

Die wachsenden gegenseitigen Abhängigkeiten zwischen Infrastrukturen und Sektoren sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend verflochtenen Dienstleistungsnetzes, das wichtige Infrastrukturen in der gesamten Union nutzt, und zwar in den Sektoren Energie, Verkehr, Banken, Trinkwasser, Abwasser, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Gesundheit, Weltraum, Finanzmarktinfrastruktur sowie digitale Infrastruktur als auch in bestimmten Bereichen der öffentlichen Verwaltung. Der Weltraumsektor fällt in den Anwendungsbereich dieser Richtlinie in Bezug auf die Erbringung bestimmter Dienste, die von Bodeninfrastrukturen abhängig sind, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden; folglich fallen Infrastrukturen, die sich im Eigentum der Union befinden oder von der Union oder in ihrem Namen im Rahmen ihres Weltraumprogramms verwaltet oder betrieben werden, nicht in den Anwendungsbereich dieser Richtlinie.

Für den Energiesektor und insbesondere die Methoden der Elektrizitätserzeugung und -übertragung (in Bezug auf die Stromversorgung) gilt, dass — sofern dies als zweckmäßig erachtet wird — der Begriff Elektrizitätserzeugung auch die zur Übertragung von Elektrizität verwendeten Komponenten von Kernkraftwerken abdecken kann, nicht jedoch die spezifisch kerntechnischen Komponenten, die durch Verträge und das Unionsrecht, einschließlich der entsprechenden Rechtsvorschriften der Union im Nuklearbereich, erfasst werden. Der Prozess zur Ermittlung kritischer Einrichtungen im Lebensmittelsektor sollte der Art des Binnenmarktes in diesem Sektor und den umfassenden Unionsvorschriften in Bezug auf die allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts und der Lebensmittelsicherheit angemessen Rechnung tragen. Um daher einen verhältnismäßigen Ansatz sicherzustellen und die Rolle und Bedeutung jener Einrichtungen auf nationaler Ebene angemessen widerzuspiegeln, sollten kritische Einrichtungen daher nur unter Lebensmittelunternehmen ermittelt werden — unabhängig davon, ob sie gewinnorientiert sind oder nicht und ob es sich um öffentliche oder private Unternehmen handelt —, die ausschließlich in den Bereichen Logistik und Großhandel sowie industrielle Großproduktion und -verarbeitung mit einem auf nationaler Ebene beobachteten erheblichen Marktanteil tätig sind. Wegen dieser gegenseitigen Abhängigkeiten kann jede Störung wesentlicher Dienste, auch wenn sie anfänglich auf eine Einrichtung oder einen Sektor beschränkt ist, zu breiteren Kaskadeneffekten führen, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten im gesamten Binnenmarkt haben können. Größere Krisen wie die COVID-19-Pandemie haben gezeigt, wie anfällig unsere zunehmend verflochtenen Gesellschaften für Risiken mit erheblichen Auswirkungen und geringer Eintrittswahrscheinlichkeit sind.

Die an der Erbringung wesentlicher Dienste beteiligten Einrichtungen unterliegen zunehmend unterschiedlichen Anforderungen, die sich aus nationalem Recht ergeben. Der Umstand, dass in einigen Mitgliedstaaten weniger strenge Sicherheitsanforderungen für diese Einrichtungen gelten, führt nicht nur zu unterschiedlichen Resilienzniveaus, sondern bringt auch das Risiko negativer Auswirkungen auf die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten in der gesamten Union mit sich und führt ferner auch zu Hindernissen für das reibungslose Funktionieren des Binnenmarkts. Investoren und Unternehmen können sich auf resiliente kritische Einrichtungen verlassen und ihnen vertrauen, und Zuverlässigkeit und Vertrauen sind die Eckpfeiler eines gut funktionierenden Binnenmarkts. Ähnliche Arten von Einrichtungen gelten in einigen Mitgliedstaaten als kritisch, in anderen jedoch nicht, und selbst die als kritisch eingestuften Einrichtungen unterliegen in verschiedenen Mitgliedstaaten unterschiedlichen Anforderungen. Dies führt zu zusätzlichem und unnötigem Verwaltungsaufwand für grenzüberschreitend tätige Unternehmen, insbesondere für solche, die in Mitgliedstaaten mit strengeren Anforderungen tätig sind. Ein Unionsrahmen würde daher auch dazu führen, dass die Wettbewerbsbedingungen für kritische Einrichtungen in der gesamten Union angeglichen werden.

Um die Erbringung wesentlicher Dienste im Binnenmarkt sicherzustellen, die Resilienz kritischer Einrichtungen zu erhöhen und die grenzüberschreitende Zusammenarbeit zwischen den zuständigen Behörden zu verbessern, müssen harmonisierte Mindestvorschriften festgelegt werden. Es ist wichtig, dass diese Vorschriften in Bezug auf ihre Gestaltung und Umsetzung zukunftstauglich sind und gleichzeitig die notwendige Flexibilität bieten. Es ist auch von erheblicher Bedeutung, die Kapazitäten kritischer Einrichtungen für die Erbringung wesentlicher Dienste angesichts vielfältiger Risiken zu verbessern.

Um ein hohes Resilienzniveau zu erreichen, sollten die Mitgliedstaaten kritische Einrichtungen ermitteln, die einerseits besonderen Anforderungen und einer spezifischen Aufsicht unterliegen werden, und die andererseits gegenüber allen entsprechenden Risiken in besonderem Maße unterstützt und mit Leitfäden ausgestattet werden sollen.

Angesichts der Bedeutung der Cybersicherheit für die Resilienz kritischer Einrichtungen und im Sinne der Einheitlichkeit sollte möglichst dafür gesorgt werden, dass der Ansatz dieser Richtlinie und der Ansatz der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(⁵)Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (siehe Seite 80 dieses Amtsblatts). kohärent sind. Im Hinblick auf die häufiger auftretenden Cyberrisiken und ihre besonderen Merkmale sieht die Richtlinie (EU) 2022/2555 für eine Vielzahl von Einrichtungen umfassende Anforderungen vor, die ihre Cybersicherheit gewährleisten sollen. Da die Richtlinie (EU) 2022/2555 das Thema Cybersicherheit ausreichend abdeckt, sollte der Inhalt jener Richtlinie unbeschadet der besonderen Regelungen für Einrichtungen, die im Bereich der digitalen Infrastruktur tätig sind, vom Anwendungsbereich der vorliegenden Richtlinie ausgenommen werden.

Wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie von den Mitgliedstaaten als zumindest gleichwertig anerkannt sind, sollten die entsprechenden Bestimmungen dieser Richtlinie keine Anwendung finden, damit Doppelarbeit und unnötiger Aufwand vermieden werden. In diesem Fall sollten die in diesen Rechtsakten der Union festgelegten entsprechenden Bestimmungen Anwendung finden. Wenn die entsprechenden Bestimmungen dieser Richtlinie nicht anwendbar sind, sollten auch die in dieser Richtlinie festgelegten Aufsichts- und Durchsetzungsbestimmungen nicht anwendbar sein.

Diese Richtlinie berührt nicht die Zuständigkeit der Mitgliedstaaten und ihrer Behörden hinsichtlich der Verwaltungsautonomie oder ihre Verantwortung für den Schutz der nationalen Sicherheit und Verteidigung oder ihre Befugnis zum Schutz anderer wesentlicher staatlicher Funktionen, insbesondere in Bezug auf die öffentliche Sicherheit, die territoriale Unversehrtheit und die Aufrechterhaltung der öffentlichen Ordnung. Der Ausschluss von Einrichtungen der öffentlichen Verwaltung vom Anwendungsbereich dieser Richtlinie sollte für Einrichtungen gelten, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausgeübt werden. Jedoch sollten Einrichtungen der öffentlichen Verwaltung, deren Tätigkeiten nur geringfügig mit diesen Bereichen zusammenhängen, in den Anwendungsbereich dieser Richtlinie fallen. Für die Zwecke dieser Richtlinie gelten Einrichtungen mit Regulierungsbefugnissen nicht als Einrichtungen, die Tätigkeiten im Bereich der Strafverfolgung ausüben, und sind demnach nicht vom Anwendungsbereich dieser Richtlinie ausgenommen. Einrichtungen der öffentlichen Verwaltung, die im Einklang mit einer internationalen Übereinkunft gemeinsam mit einem Drittland errichtet wurden, fallen nicht in den Anwendungsbereich dieser Richtlinie. Diese Richtlinie gilt nicht für die diplomatischen und die konsularischen Vertretungen der Mitgliedstaaten in Drittländern.

Bestimmte kritische Einrichtungen üben Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, aus oder erbringen ausschließlich Dienste für Einrichtungen der öffentlichen Verwaltung, die hauptsächlich in diesen Bereichen tätig sind. Im Hinblick auf die Verantwortung der Mitgliedstaaten für den Schutz der nationalen Sicherheit und Verteidigung sollten die Mitgliedstaaten beschließen können, dass die in dieser Richtlinie festgelegten Verpflichtungen für kritische Einrichtungen weder ganz noch teilweise für jene kritischen Einrichtungen gelten sollten, wenn die von ihnen erbrachten Dienste oder ausgeübten Tätigkeiten überwiegend mit den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, zusammenhängen. Kritische Einrichtungen, deren Dienste oder Tätigkeiten nur geringfügig mit diesen Bereichen in Zusammenhang stehen, sollten in den Anwendungsbereich dieser Richtlinie fallen. Kein Mitgliedstaat sollte verpflichtet sein, Informationen bereitzustellen, deren Offenlegung seinen wesentlichen Interessen in Bezug auf seine nationale Sicherheit zuwiderlaufen würde. Unions- oder nationale Vorschriften zum Schutz von Verschlusssachen sowie Geheimhaltungsvereinbarungen sind von Belang.

Die Rechtsvorschriften der Union für Finanzdienstleistungen enthalten umfassende Anforderungen für Finanzunternehmen in Bezug auf die Steuerung aller ihrer Risiken, einschließlich der operationellen Risiken, und die Aufrechterhaltung des Betriebs. Diese Rechtsvorschriften umfassen die Verordnungen (EU) Nr. 648/2012(⁸)Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1). (EU) Nr. 575/2013(⁹)Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1). und (EU) Nr. 600/2014(¹⁰)Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 173 vom 12.6.2014, S. 84). des Europäischen Parlaments und des Rates und die Richtlinien 2013/36/EU(¹¹)Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (ABl. L 176 vom 27.6.2013, S. 338). und 2014/65/EU(¹²)Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (ABl. L 173 vom 12.6.2014, S. 349). des Europäischen Parlaments und des Rates. Dieser Rechtsrahmen wird durch die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(¹³)Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (siehe Seite 1 dieses Amtsblatts). ergänzt, in der Anforderungen an Finanzunternehmen in Bezug auf den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) und einschließlich hinsichtlich des Schutzes physischer IKT-Infrastrukturen festgelegt sind. Da die Resilienz dieser Einrichtungen daher umfassend abgedeckt wird, sollten Artikel 11 und die Kapitel III, IV und VI dieser Richtlinie nicht für diese Einrichtungen gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden.

In Anbetracht dessen, dass die von Einrichtungen im Finanzsektor erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch im Finanzsektor tätige Einrichtungen als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Rechtsvorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

Die Verordnungen (EG) Nr. 725/2004(¹⁴)Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen (ABl. L 129 vom 29.4.2004, S. 6). und (EG) Nr. 300/2008(¹⁵)Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) Nr. 2320/2002 (ABl. L 97 vom 9.4.2008, S. 72). des Europäischen Parlaments und des Rates sowie die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates(¹⁶)Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen (ABl. L 310 vom 25.11.2005, S. 28). enthalten Verpflichtungen für im Luft- und Seeverkehr tätige Einrichtungen, die darauf abstellen, Sicherheitsvorfälle, die auf rechtswidrige Handlungen zurückzuführen sind, zu verhindern und abzuwehren und die Folgen solcher Vorfälle zu begrenzen. Zwar sind die in dieser Richtlinie geforderten Maßnahmen breiter gefasst, was die zu behandelnden Risiken und die Art der zu ergreifenden Maßnahmen angeht, doch sollten die kritischen Einrichtungen in den betreffenden Sektoren in ihrem Resilienzplan oder gleichwertigen Dokumenten auch auf die gemäß jenen anderen Rechtsakten der Union ergriffenen Maßnahmen eingehen. Kritische Einrichtungen haben auch die Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates(¹⁷)Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates vom 19. November 2008 über ein Sicherheitsmanagement für die Straßenverkehrsinfrastruktur (ABl. L 319 vom 29.11.2008, S. 59). zu berücksichtigen, mit der eine netzweite Bewertung der Straßen, um die Unfallrisiken abzubilden, sowie eine gezielte Straßensicherheitsüberprüfung eingeführt wird, um auf der Grundlage von Ortsbesichtigungen von bestehenden Straßen oder bestehenden Straßenabschnitten gefährliche Zustände, Mängel und Probleme zu ermitteln, die das Unfall- und Verletzungsrisiko erhöhen. Die Sicherstellung des Schutzes und der Resilienz kritischer Einrichtungen ist für den Eisenbahnsektor von größter Bedeutung, und kritische Einrichtungen werden ermutigt, bei der Umsetzung von Resilienzmaßnahmen nach der vorliegenden Richtlinie auf nicht verbindliche Leitlinien und Dokumente über bewährte Verfahren zu verweisen, die im Rahmen sektorspezifischer Initiativen, wie etwa der durch den Beschluss 2018/C 232/03 der Kommission(¹⁸)Beschluss der Kommission vom 29. Juni 2018 zur Einrichtung der EU-Plattform für die Sicherheit im Schienenpersonenverkehr (ABl. C 232 vom 3.7.2018, S. 10). eingerichteten EU-Plattform für die Sicherheit im Schienenpersonenverkehr, ausgearbeitet wurden.