Artikel 4 Strategien für die Resilienz kritischer Einrichtungen

Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, verabschiedet jeder Mitgliedstaat spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienzdie Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen; kritischer Einrichtungen (im Folgenden „Strategie“). In der Strategie sind — aufbauend auf den bestehenden entsprechenden nationalen und sektorspezifischen Strategien, Plänen oder ähnlichen Dokumenten — die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll und mindestens die im Anhang festgelegten Sektoren abgedeckt werden sollen.

1. strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten;

2. einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure;

3. eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertungden gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden; nach Artikel 5;

4. eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen;

5. eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen gemäß diesem Kapitel, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;

6. eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern — bei denen es sich nicht um kritische Einrichtungen handelt —, die an der Umsetzung der Strategie beteiligt sind;

7. einen politischen Rahmen für die Koordinierung zwischen den gemäß der vorliegenden Richtlinie zuständigen Behörden (im Folgenden „zuständige Behörden“) und den gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben;

8. eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III der vorliegenden Richtlinie durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission(³¹)Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36)., die von den betreffenden Mitgliedstaaten als kritische Einrichtungen eingestuft wurden.

Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, aktualisieren die Mitgliedstaaten ihre Strategien mindestens alle vier Jahre.

Die Mitgliedstaaten teilen der Kommission ihre Strategien und deren wesentlichen Aktualisierungen innerhalb von drei Monaten nach ihrer Verabschiedung mit.