Source: OJ L 333, 27.12.2022, pp. 164–198Current language: DE
- Resilience of critical entities
Basic legislative acts
- CER directive
Artikel 12 Risikobewertungen durch kritische Einrichtungen
Ungeachtet der in Artikel 6 Absatz 3 Unterabsatz 2 festgelegten Frist, stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen innerhalb von neun Monaten nach Erhalt der in Artikel 6 Absatz 3 genannten Mitteilung und anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikobewertung auf der Grundlage der Risikobewertungen durch Mitgliedstaaten und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste (im Folgenden „Risikobewertung durch kritische Einrichtungen“) stören könnten.
Die Risikobewertung durch kritische Einrichtungen trägt allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung, die zu einem Sicherheitsvorfall führen könnten, einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541. Eine Risikobewertung durch kritische Einrichtungen trägt dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, Rechnung.
Hat eine kritische Einrichtung aufgrund von Verpflichtungen aus anderen Rechtsakten, die für ihre Risikobewertung durch kritische Einrichtungen relevant sind, andere Risikobewertungen vorgenommen oder Dokumente erstellt, so kann sie diese Bewertungen und Dokumente verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde eine bestehende Risikobewertung, die von einer kritischen Einrichtung durchgeführt wurde, die sich mit den in Unterabsatz 1 genannten Risiken und dem Ausmaß der Abhängigkeit befasst, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.
Relevant recitals
Erwägungsgrund 20 All-hazards approach of the NIS 2 directive
Mit der Richtlinie (EU) 2022/2555 werden Einrichtungen im Bereich digitale Infrastruktur, die für eine Einstufung als kritische Einrichtungen im Sinne dieser Richtlinie in Frage kommen könnten, verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, und erhebliche Sicherheitsvorfälle und Cyberbedrohungen zu melden. Da Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, wird in der Richtlinie (EU) 2022/2555 ein „gefahrenübergreifender“ Ansatz angewandt, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.
Da die in der Richtlinie (EU) 2022/2555 diesbezüglich festgelegten Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie zumindest gleichwertig sind, sollten die in Artikel 11 und in Kapitel III, IV und VI dieser Richtlinie festgelegten Verpflichtungen für Einrichtungen im Bereich digitale Infrastruktursektor nicht gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden. Angesichts dessen, dass die von Einrichtungen im Bereich digitale Infrastruktur erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch Einrichtungen im Bereich digitale Infrastruktur als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Vorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.
Erwägungsgrund 28 Use of existing risk assessments
Den kritischen Einrichtungen sollten die entsprechenden Risiken, denen sie ausgesetzt sind, in ihrer Gesamtheit bekannt sein, und sie sollten verpflichtet sein, diese Risiken zu analysieren. Zu diesem Zweck sollten sie immer, wenn ihre besondere Situation oder die Entwicklung der Risiken dies erfordern, und in jedem Fall alle vier Jahre Risikobewertungen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten (im Folgenden „Risikobewertung durch kritische Einrichtungen“). Haben kritische Einrichtungen aufgrund von Verpflichtungen aus anderen Rechtsakten andere Risikobewertungen vorgenommen oder Dokumente erstellt, die für die Risikobewertung durch kritische Einrichtungen nach der vorliegenden Richtlinie relevant sind, so sollten sie diese Bewertungen und Dokumente verwenden können, um die in der vorliegenden Richtlinie hinsichtlich der Risikobewertungen durch kritische Einrichtungen festgelegten Anforderungen zu erfüllen. Eine zuständige Behörde sollte in der Lage sein zu erklären, dass eine, durch eine kritische Einrichtung durchgeführte, bestehende Risikobewertung, die sich mit den entsprechenden Risiken und dem entsprechenden Ausmaß der Abhängigkeiten befasst, ganz oder teilweise den in dieser Richtlinie festgelegten Verpflichtungen entspricht.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.