Source: OJ L 333, 27.12.2022, pp. 164–198

Artikel 13 Resilienzmaßnahmen kritischer Einrichtungen

1. Die Mitgliedstaaten stellen sicher, dass die kritischen Einrichtungen auf der Grundlage der von den Mitgliedstaaten bereitgestellten entsprechenden Informationen über die Risikobewertung durch Mitgliedstaaten sowie den Ergebnissen der Risikobewertung durch kritische Einrichtungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz ergreifen, unter anderem Maßnahmen, die erforderlich sind, um
  1. das Auftreten von Sicherheitsvorfällen zu verhindern, unter gebührender Berücksichtigung von Katastrophenvorsorge und Maßnahmen zur Anpassung an den Klimawandel;
  2. einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen zu gewährleisten, unter gebührender Berücksichtigung zum Beispiel von dem Aufstellen von Zäunen und Sperren, Instrumenten und Verfahren für die Überwachung der Umgebung, Detektionsgeräten und Zugangskontrollen;
  3. auf Sicherheitsvorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen, unter gebührender Berücksichtigung der Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen und vorgegebener Abläufe im Alarmfall;
  4. nach Sicherheitsvorfällen die Wiederherstellung zu gewährleisten, unter gebührender Berücksichtigung von Maßnahmen zur Aufrechterhaltung des Betriebs und der Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen;
  5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, unter gebührender Berücksichtigung von Maßnahmen wie der Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt, der Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen und der Einführung von Verfahren für Zuverlässigkeitsüberprüfungen im Einklang mit Artikel 14 und der Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen, und der Festlegung angemessener Schulungsanforderungen und Qualifikationen.
  6. das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu sensibilisieren.
2. Für die Zwecke von Unterabsatz 1 Buchstabe e stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen das Personal externer Dienstleister bei der Festlegung der Kategorien von Personal, das kritische Funktionen wahrnimmt, berücksichtigt;
1. Die Mitgliedstaaten stellen sicher, dass kritische Einrichtungen über einen Resilienzplan oder ein gleichwertiges Dokument oder Dokumente, in denen die Maßnahmen gemäß Absatz 1 beschrieben werden, verfügen und diese anwenden. Haben kritische Einrichtungen Dokumente erstellt oder Maßnahmen aufgrund von Verpflichtungen aus anderen Rechtsakten, die für die in Absatz 1 genannten Maßnahmen relevant sind, ergriffen, so können sie diese Dokumente und Maßnahmen verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde bestehende Maßnahmen zur Verbesserung der Resilienz einer kritischen Einrichtung, die die in Absatz 1 genannten technischen, sicherheitsbezogenen und organisatorischen Maßnahmen betreffen, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.
1. Die Mitgliedstaaten stellen sicher, dass jede kritische Einrichtung einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.
1. Auf Ersuchen des Mitgliedstaats, der die kritische Einrichtung ermittelt hat, und mit Zustimmung der betreffenden kritischen Einrichtung organisiert die Kommission im Einklang mit den Regelungen gemäß Artikel 18 Absätze 6, 8 und 9 Beratungsmissionen, um die betreffende kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen nach Kapitel III zu beraten. Die Beratungsmission erstattet der Kommission, dem betreffenden Mitgliedstaat und der betreffenden kritischen Einrichtung Bericht über ihre Ergebnisse.
1. Die Kommission erlässt nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen gemäß Artikel 19 unverbindliche Leitlinien, in denen die technischen, sicherheitsbezogenen und organisatorischen Maßnahmen, die gemäß Absatz 1 des vorliegenden Artikels ergriffen werden können, näher spezifiziert werden.
1. Die Kommission erlässt Durchführungsrechtsakte, um die erforderlichen technischen und methodischen Spezifikationen für die Anwendung der in Absatz 1 des vorliegenden Artikels genannten Maßnahmen festzulegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 24 Absatz 2 genannten Prüfverfahren erlassen.

Relevant recitals

Erwägungsgrund 4 All-hazards approach

Während bestimmte Wirtschaftssektoren wie der Energiesektor und der Verkehrssektor bereits durch sektorspezifische Rechtsakte der Union reguliert sind, enthalten diese Rechtsakte Bestimmungen, die nur bestimmte Aspekte der Resilienz der in diesen Sektoren tätigen Einrichtungen betreffen. Um die Resilienz der Einrichtungen, die für das reibungslose Funktionieren des Binnenmarkts von entscheidender Bedeutung sind, umfassend anzugehen, schafft diese Richtlinie einen übergreifenden Rahmen, der die Resilienz kritischer Einrichtungen gegenüber allen — durch Naturkatastrophen oder vom Menschen verursachten, unbeabsichtigten oder vorsätzlichen — Gefahren berücksichtigt.

Erwägungsgrund 7 Comprehensive and future-proof minimum rules

Um die Erbringung wesentlicher Dienste im Binnenmarkt sicherzustellen, die Resilienz kritischer Einrichtungen zu erhöhen und die grenzüberschreitende Zusammenarbeit zwischen den zuständigen Behörden zu verbessern, müssen harmonisierte Mindestvorschriften festgelegt werden. Es ist wichtig, dass diese Vorschriften in Bezug auf ihre Gestaltung und Umsetzung zukunftstauglich sind und gleichzeitig die notwendige Flexibilität bieten. Es ist auch von erheblicher Bedeutung, die Kapazitäten kritischer Einrichtungen für die Erbringung wesentlicher Dienste angesichts vielfältiger Risiken zu verbessern.

Erwägungsgrund 29 Liason officer and guidelines on common measures

Die kritischen Einrichtungen sollten technische, sicherheitsbezogene und organisatorische Maßnahmen ergreifen, die angemessen und geeignet sind für die Risiken, denen sie ausgesetzt sind, und um einen Sicherheitsvorfall zu verhindern, davor zu schützen, darauf zu reagieren, ihn abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, ihn aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen. Während die kritischen Einrichtungen diese Maßnahmen im Einklang mit der vorliegenden Richtlinie ergreifen sollten, sollten die Einzelheiten und der Umfang solcher Maßnahmen die einzelnen Risiken, die jede kritische Einrichtung im Rahmen ihrer Risikobewertung durch kritische Einrichtungen ermittelt hat, und die besondere Situation der betreffenden Einrichtung auf angemessene und verhältnismäßige Weise widerspiegeln. Damit ein einheitlicher Ansatz der Union gefördert wird, sollte die Kommission nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen nicht verbindliche Leitlinien erlassen, in denen diese technischen, sicherheitsbezogenen und organisatorischen Maßnahmen näher ausgeführt werden. Die Mitgliedstaaten sollten sicherstellen, dass jede kritische Einrichtung einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.

Erwägungsgrund 30 Resilience plan

Um diese Ziele in Bezug auf die ermittelten Risiken zu erreichen, sollten kritische Einrichtungen die von ihnen ergriffenen Maßnahmen — auch im Interesse der Rechenschaftspflicht und der Wirksamkeit der Maßnahmen — in einem Resilienzplan oder in einem oder mehreren Dokumenten, die einem Resilienzplan gleichwertig sind, hinreichend detailliert beschreiben und diesen Plan in der Praxis anwenden. Hat eine kritische Einrichtung bereits technische, sicherheitsbezogene und organisatorische Maßnahmen ergriffen und Dokumente gemäß anderen Rechtsakten erstellt, die für Maßnahmen zur Verbesserung der Resilienz nach dieser Richtlinie relevant sind, so sollte sie, um Doppelarbeit zu vermeiden, in der Lage sein, diese Maßnahmen und Dokumente zu nutzen, um den Verpflichtungen in Bezug auf die Resilienzmaßnahmen gemäß der vorliegenden Richtlinie nachzukommen. Um Doppelarbeit zu vermeiden, sollte eine zuständige Behörde in der Lage sein, zu erklären, dass bestehende Resilienzmaßnahmen, die von einer kritischen Einrichtung ergriffen wurden, mit denen ihre Verpflichtung, technische, sicherheitsbezogene und organisatorische Maßnahmen gemäß der vorliegenden Richtlinie zu ergreifen, angegangen wird, ganz oder teilweise den Anforderungen dieser Richtlinie entsprechen.

Erwägungsgrund 36 Advisory missions

Sind zusätzliche Informationen erforderlich, um eine kritische Einrichtung bei der Erfüllung ihrer Verpflichtungen nach dieser Richtlinie beraten zu können oder um zu bewerten, ob eine kritische Einrichtung von besonderer Bedeutung für Europa diese Verpflichtungen erfüllt, so sollte der Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, auf ein begründetes Ersuchen der Kommission oder eines oder mehrerer Mitgliedstaaten, für die oder in denen der wesentliche Dienst erbracht wird, der Kommission bestimmte Informationen gemäß der vorliegenden Richtlinie bereitstellen. Die Kommission sollte im Einvernehmen mit dem Mitgliedstaat, der die kritische Einrichtung von besonderer Bedeutung für Europa als eine kritische Einrichtung eingestuft hat, in der Lage sein, eine Beratungsmission zur Bewertung der von dieser Einrichtung ergriffenen Maßnahmen zu organisieren. Um sicherzustellen, dass diese Beratungsmissionen ordnungsgemäß durchgeführt werden, sollten insbesondere in Bezug auf die Organisation und Durchführung von Beratungsmissionen, die zu ergreifenden Folgemaßnahmen und die Verpflichtungen, die sich für die betreffenden kritischen Einrichtungen von besonderer Bedeutung für Europa in diesem Zusammenhang ergeben, ergänzende Vorschriften festgelegt werden. Unbeschadet dessen, dass der Mitgliedstaat, in dem die Beratungsmission durchgeführt wird, sowie die betreffende kritische Einrichtung die in dieser Richtlinie festgelegten Vorschriften einhalten müssen, sollten die Beratungsmissionen den Rechtsvorschriften dieses Mitgliedstaats — beispielsweise über die genauen Bedingungen für den Zugang zu den entsprechenden Räumlichkeiten oder Dokumenten und über Rechtsbehelfe — unterliegen. Das für solche Beratungsmissionen erforderliche spezifische Fachwissen könnte gegebenenfalls über das durch den Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates(²²)Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates vom 17. Dezember 2013 über ein Katastrophenschutzverfahren der Union (ABl. L 347 vom 20.12.2013, S. 924). eingerichtete Zentrum für die Koordination von Notfallmaßnahmen angefordert werden.

Erwägungsgrund 42 Implementing powers of the European Commission

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Richtlinie sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(²⁶)Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13). ausgeübt werden.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.