(1)

In einer zunehmend verflochtenen Unionswirtschaft kommt kritischen Einrichtungen als Anbietern wesentlicher Dienste eine unverzichtbare Rolle bei der Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten im Binnenmarkt zu. Daher ist es von wesentlicher Bedeutung, einen Unionsrahmen zu schaffen, der sowohl darauf abzielt, die Resilienz kritischer Einrichtungen im Binnenmarkt durch die Festlegung harmonisierter Mindestverpflichtungen zu verbessern, als auch darauf, diesen Einrichtungen durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu helfen.

(2)

In der Richtlinie 2008/114/EG des Rates (4) ist ein Verfahren für die Ausweisung europäischer kritischer Infrastrukturen im Energiesektor und im Verkehrssektor vorgesehen, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen in mindestens zwei Mitgliedstaaten hätte. Den Schwerpunkt jener Richtlinie bildet ausschließlich der Schutz solcher Infrastrukturen. Bei der im Jahr 2019 durchgeführten Evaluierung der Richtlinie 2008/114/EG wurde jedoch festgestellt, dass aufgrund des zunehmend vernetzten und grenzüberschreitenden Charakters von Tätigkeiten, bei denen kritische Infrastrukturen genutzt werden, Schutzmaßnahmen für einzelne Objekte allein nicht ausreichen, um alle Störungen zu verhindern. Deshalb muss der Ansatz geändert und mit ihm sichergestellt werden, dass Risiken besser berücksichtigt werden, dass die Aufgaben und die Pflichten der kritischen Einrichtungen als Anbieter von Diensten, die für das Funktionieren des Binnenmarkts wesentlich sind, genauer festgelegt werden und kohärent sind und dass Unionsvorschriften angenommen werden, um die Resilienz kritischer Einrichtungen zu verbessern. So sollten kritische Einrichtungen in der Lage sein, ihre Fähigkeit zu stärken, Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste stören könnten, zu verhindern, sich davor zu schützen, darauf zu reagieren, sie abzuwehren, zu begrenzen, aufzufangen, zu bewältigen und sich von solchen Vorfällen zu erholen.

(3)

Zwar wird mit einer Reihe von Maßnahmen sowohl auf Unionsebene, wie das Europäische Programm für den Schutz kritischer Infrastrukturen, als auch auf nationaler Ebene die Unterstützung des Schutzes kritischer Infrastrukturen in der Union angestrebt, jedoch sollte noch mehr unternommen werden, um die Einrichtungen, die solche Infrastrukturen betreiben, besser auszustatten, um auf Risiken für ihren Betrieb reagieren zu können, die zur Störung der Erbringung von wesentlichen Diensten führen könnten. Es sollte auch mehr unternommen werden, damit diese Einrichtungen besser ausgestattet sind, da eine dynamische Bedrohungslage besteht, die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren einschließt. Ferner besteht ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel, der die Häufigkeit und das Ausmaß von Wetterextremen erhöht und zu langfristigen Veränderungen der durchschnittlichen Klimaverhältnisse führt, die die Kapazität, Effizienz und Lebensdauer bestimmter Infrastrukturarten verringern können, wenn keine Maßnahmen zur Anpassung an den Klimawandel getroffen werden. Darüber hinaus erfolgt die Ermittlung kritischer Einrichtungen im Binnenmarkt uneinheitlich, denn die entsprechenden Sektoren und Kategorien von Einrichtungen werden nicht in allen Mitgliedstaaten kohärent als kritisch eingestuft. Mit dieser Richtlinie sollte daher ein solides Maß an Harmonisierung in Bezug auf die in ihren Anwendungsbereich fallenden Sektoren und Kategorien von Einrichtungen erreicht werden.

(4)

Während bestimmte Wirtschaftssektoren wie der Energiesektor und der Verkehrssektor bereits durch sektorspezifische Rechtsakte der Union reguliert sind, enthalten diese Rechtsakte Bestimmungen, die nur bestimmte Aspekte der Resilienz der in diesen Sektoren tätigen Einrichtungen betreffen. Um die Resilienz der Einrichtungen, die für das reibungslose Funktionieren des Binnenmarkts von entscheidender Bedeutung sind, umfassend anzugehen, schafft diese Richtlinie einen übergreifenden Rahmen, der die Resilienz kritischer Einrichtungen gegenüber allen — durch Naturkatastrophen oder vom Menschen verursachten, unbeabsichtigten oder vorsätzlichen — Gefahren berücksichtigt.

(5)

Die wachsenden gegenseitigen Abhängigkeiten zwischen Infrastrukturen und Sektoren sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend verflochtenen Dienstleistungsnetzes, das wichtige Infrastrukturen in der gesamten Union nutzt, und zwar in den Sektoren Energie, Verkehr, Banken, Trinkwasser, Abwasser, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Gesundheit, Weltraum, Finanzmarktinfrastruktur sowie digitale Infrastruktur als auch in bestimmten Bereichen der öffentlichen Verwaltung. Der Weltraumsektor fällt in den Anwendungsbereich dieser Richtlinie in Bezug auf die Erbringung bestimmter Dienste, die von Bodeninfrastrukturen abhängig sind, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden; folglich fallen Infrastrukturen, die sich im Eigentum der Union befinden oder von der Union oder in ihrem Namen im Rahmen ihres Weltraumprogramms verwaltet oder betrieben werden, nicht in den Anwendungsbereich dieser Richtlinie.

Für den Energiesektor und insbesondere die Methoden der Elektrizitätserzeugung und -übertragung (in Bezug auf die Stromversorgung) gilt, dass — sofern dies als zweckmäßig erachtet wird — der Begriff Elektrizitätserzeugung auch die zur Übertragung von Elektrizität verwendeten Komponenten von Kernkraftwerken abdecken kann, nicht jedoch die spezifisch kerntechnischen Komponenten, die durch Verträge und das Unionsrecht, einschließlich der entsprechenden Rechtsvorschriften der Union im Nuklearbereich, erfasst werden. Der Prozess zur Ermittlung kritischer Einrichtungen im Lebensmittelsektor sollte der Art des Binnenmarktes in diesem Sektor und den umfassenden Unionsvorschriften in Bezug auf die allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts und der Lebensmittelsicherheit angemessen Rechnung tragen. Um daher einen verhältnismäßigen Ansatz sicherzustellen und die Rolle und Bedeutung jener Einrichtungen auf nationaler Ebene angemessen widerzuspiegeln, sollten kritische Einrichtungen daher nur unter Lebensmittelunternehmen ermittelt werden — unabhängig davon, ob sie gewinnorientiert sind oder nicht und ob es sich um öffentliche oder private Unternehmen handelt —, die ausschließlich in den Bereichen Logistik und Großhandel sowie industrielle Großproduktion und -verarbeitung mit einem auf nationaler Ebene beobachteten erheblichen Marktanteil tätig sind. Wegen dieser gegenseitigen Abhängigkeiten kann jede Störung wesentlicher Dienste, auch wenn sie anfänglich auf eine Einrichtung oder einen Sektor beschränkt ist, zu breiteren Kaskadeneffekten führen, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten im gesamten Binnenmarkt haben können. Größere Krisen wie die COVID-19-Pandemie haben gezeigt, wie anfällig unsere zunehmend verflochtenen Gesellschaften für Risiken mit erheblichen Auswirkungen und geringer Eintrittswahrscheinlichkeit sind.

(6)

Die an der Erbringung wesentlicher Dienste beteiligten Einrichtungen unterliegen zunehmend unterschiedlichen Anforderungen, die sich aus nationalem Recht ergeben. Der Umstand, dass in einigen Mitgliedstaaten weniger strenge Sicherheitsanforderungen für diese Einrichtungen gelten, führt nicht nur zu unterschiedlichen Resilienzniveaus, sondern bringt auch das Risiko negativer Auswirkungen auf die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten in der gesamten Union mit sich und führt ferner auch zu Hindernissen für das reibungslose Funktionieren des Binnenmarkts. Investoren und Unternehmen können sich auf resiliente kritische Einrichtungen verlassen und ihnen vertrauen, und Zuverlässigkeit und Vertrauen sind die Eckpfeiler eines gut funktionierenden Binnenmarkts. Ähnliche Arten von Einrichtungen gelten in einigen Mitgliedstaaten als kritisch, in anderen jedoch nicht, und selbst die als kritisch eingestuften Einrichtungen unterliegen in verschiedenen Mitgliedstaaten unterschiedlichen Anforderungen. Dies führt zu zusätzlichem und unnötigem Verwaltungsaufwand für grenzüberschreitend tätige Unternehmen, insbesondere für solche, die in Mitgliedstaaten mit strengeren Anforderungen tätig sind. Ein Unionsrahmen würde daher auch dazu führen, dass die Wettbewerbsbedingungen für kritische Einrichtungen in der gesamten Union angeglichen werden.

(7)

Um die Erbringung wesentlicher Dienste im Binnenmarkt sicherzustellen, die Resilienz kritischer Einrichtungen zu erhöhen und die grenzüberschreitende Zusammenarbeit zwischen den zuständigen Behörden zu verbessern, müssen harmonisierte Mindestvorschriften festgelegt werden. Es ist wichtig, dass diese Vorschriften in Bezug auf ihre Gestaltung und Umsetzung zukunftstauglich sind und gleichzeitig die notwendige Flexibilität bieten. Es ist auch von erheblicher Bedeutung, die Kapazitäten kritischer Einrichtungen für die Erbringung wesentlicher Dienste angesichts vielfältiger Risiken zu verbessern.

(8)

Um ein hohes Resilienzniveau zu erreichen, sollten die Mitgliedstaaten kritische Einrichtungen ermitteln, die einerseits besonderen Anforderungen und einer spezifischen Aufsicht unterliegen werden, und die andererseits gegenüber allen entsprechenden Risiken in besonderem Maße unterstützt und mit Leitfäden ausgestattet werden sollen.

(9)

Angesichts der Bedeutung der Cybersicherheit für die Resilienz kritischer Einrichtungen und im Sinne der Einheitlichkeit sollte möglichst dafür gesorgt werden, dass der Ansatz dieser Richtlinie und der Ansatz der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (5) kohärent sind. Im Hinblick auf die häufiger auftretenden Cyberrisiken und ihre besonderen Merkmale sieht die Richtlinie (EU) 2022/2555 für eine Vielzahl von Einrichtungen umfassende Anforderungen vor, die ihre Cybersicherheit gewährleisten sollen. Da die Richtlinie (EU) 2022/2555 das Thema Cybersicherheit ausreichend abdeckt, sollte der Inhalt jener Richtlinie unbeschadet der besonderen Regelungen für Einrichtungen, die im Bereich der digitalen Infrastruktur tätig sind, vom Anwendungsbereich der vorliegenden Richtlinie ausgenommen werden.

(10)

Wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie von den Mitgliedstaaten als zumindest gleichwertig anerkannt sind, sollten die entsprechenden Bestimmungen dieser Richtlinie keine Anwendung finden, damit Doppelarbeit und unnötiger Aufwand vermieden werden. In diesem Fall sollten die in diesen Rechtsakten der Union festgelegten entsprechenden Bestimmungen Anwendung finden. Wenn die entsprechenden Bestimmungen dieser Richtlinie nicht anwendbar sind, sollten auch die in dieser Richtlinie festgelegten Aufsichts- und Durchsetzungsbestimmungen nicht anwendbar sein.

(11)

Diese Richtlinie berührt nicht die Zuständigkeit der Mitgliedstaaten und ihrer Behörden hinsichtlich der Verwaltungsautonomie oder ihre Verantwortung für den Schutz der nationalen Sicherheit und Verteidigung oder ihre Befugnis zum Schutz anderer wesentlicher staatlicher Funktionen, insbesondere in Bezug auf die öffentliche Sicherheit, die territoriale Unversehrtheit und die Aufrechterhaltung der öffentlichen Ordnung. Der Ausschluss von Einrichtungen der öffentlichen Verwaltung vom Anwendungsbereich dieser Richtlinie sollte für Einrichtungen gelten, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausgeübt werden. Jedoch sollten Einrichtungen der öffentlichen Verwaltung, deren Tätigkeiten nur geringfügig mit diesen Bereichen zusammenhängen, in den Anwendungsbereich dieser Richtlinie fallen. Für die Zwecke dieser Richtlinie gelten Einrichtungen mit Regulierungsbefugnissen nicht als Einrichtungen, die Tätigkeiten im Bereich der Strafverfolgung ausüben, und sind demnach nicht vom Anwendungsbereich dieser Richtlinie ausgenommen. Einrichtungen der öffentlichen Verwaltung, die im Einklang mit einer internationalen Übereinkunft gemeinsam mit einem Drittland errichtet wurden, fallen nicht in den Anwendungsbereich dieser Richtlinie. Diese Richtlinie gilt nicht für die diplomatischen und die konsularischen Vertretungen der Mitgliedstaaten in Drittländern.

Bestimmte kritische Einrichtungen üben Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, aus oder erbringen ausschließlich Dienste für Einrichtungen der öffentlichen Verwaltung, die hauptsächlich in diesen Bereichen tätig sind. Im Hinblick auf die Verantwortung der Mitgliedstaaten für den Schutz der nationalen Sicherheit und Verteidigung sollten die Mitgliedstaaten beschließen können, dass die in dieser Richtlinie festgelegten Verpflichtungen für kritische Einrichtungen weder ganz noch teilweise für jene kritischen Einrichtungen gelten sollten, wenn die von ihnen erbrachten Dienste oder ausgeübten Tätigkeiten überwiegend mit den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, zusammenhängen. Kritische Einrichtungen, deren Dienste oder Tätigkeiten nur geringfügig mit diesen Bereichen in Zusammenhang stehen, sollten in den Anwendungsbereich dieser Richtlinie fallen. Kein Mitgliedstaat sollte verpflichtet sein, Informationen bereitzustellen, deren Offenlegung seinen wesentlichen Interessen in Bezug auf seine nationale Sicherheit zuwiderlaufen würde. Unions- oder nationale Vorschriften zum Schutz von Verschlusssachen sowie Geheimhaltungsvereinbarungen sind von Belang.

(12)

Um die nationale Sicherheit bzw. die Sicherheit und die geschäftlichen Interessen kritischer Einrichtungen nicht zu gefährden, sollte der Zugang zu sensiblen Informationen, ihr Austausch und der Umgang mit ihnen umsichtig und mit besonderem Augenmerk auf die verwendeten Übertragungskanäle und Speicherkapazitäten erfolgen.

(13)

Im Hinblick auf die Gewährleistung eines umfassenden Ansatzes in Bezug auf die Resilienz kritischer Einrichtungen sollte jeder Mitgliedstaat über eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“) verfügen. Die Strategien sollten die umzusetzenden strategischen Ziele und politischen Maßnahmen festlegen. Im Interesse von Kohärenz und Effizienz sollte die Strategie so konzipiert sein, dass bestehende politische Strategien nahtlos einbezogen werden, wobei nach Möglichkeit auf entsprechenden bestehenden nationalen und sektorbezogenen Strategien, Plänen oder ähnlichen Dokumenten aufgebaut werden sollte. Zur Verwirklichung eines umfassenden Ansatzes sollten die Mitgliedstaaten sicherstellen, dass ihre Strategien in Bezug auf den Informationsaustausch über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie im Zusammenhang mit der Wahrnehmung von Aufsichtsaufgaben einen Rahmen für eine verstärkte Koordinierung zwischen der gemäß der vorliegenden Richtlinie zuständigen Behörde und der gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörde vorsehen. Bei der Einführung ihrer Strategien sollten die Mitgliedstaaten dem hybriden Charakter von Bedrohungen für kritische Einrichtungen gebührend Rechnung tragen.

(14)

Die Mitgliedstaaten sollten der Kommission ihre Strategien und deren wesentliche Aktualisierungen mitteilen, um insbesondere die Kommission in die Lage zu versetzen, die ordnungsgemäße Anwendung dieser Richtlinie in Bezug auf politische Ansätze für die Resilienz kritischer Einrichtungen auf nationaler Ebene zu bewerten. Die Strategien könnten erforderlichenfalls als Verschlusssache übermittelt werden. Die Kommission sollte einen zusammenfassenden Bericht über die von den Mitgliedstaaten übermittelten Strategien erstellen, der als Grundlage für den Austausch dienen soll, um bewährte Verfahren und Fragen von gemeinsamem Interesse im Rahmen einer Gruppe für die Resilienz kritischer Einrichtungen zu ermitteln. In Anbetracht der Sensibilität der im zusammenfassenden Bericht enthaltenen aggregierten Informationen — unabhängig davon, ob sie als Verschlusssache eingestuft sind oder nicht —, sollte die Kommission den zusammenfassenden Bericht mit dem angemessenen Maß an Bewusstsein für die Sicherheit der kritischen Einrichtungen, der Mitgliedstaaten und der Union verwalten. Damit die Ziele dieser Richtlinie erreicht werden, sollten der zusammenfassende Bericht und die Strategien vor rechtswidrigen oder böswilligen Handlungen geschützt werden und nur befugten Personen zugänglich sein. Die Übermittlung der Strategien und ihrer wesentlichen Aktualisierungen sollte auch dazu beitragen, dass die Kommission, die Entwicklungen bei den Ansätzen für die Resilienz kritischer Einrichtungen versteht, und in die Überwachung der Auswirkungen und des Mehrwerts dieser Richtlinie einfließen, die die Kommission regelmäßig zu überprüfen hat.

(15)

Die Maßnahmen der Mitgliedstaaten zur Ermittlung der kritischen Einrichtungen und zur Gewährleistung ihrer Resilienz sollten einem risikobasierten Ansatz folgen, bei dem diejenigen Einrichtungen im Fokus stehen, die für die Erfüllung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am bedeutendsten sind. Um einen solchen gezielten Ansatz zu ermöglichen, sollte jeder Mitgliedstaat innerhalb eines harmonisierten Rahmens eine Bewertung der entsprechenden natürlichen und vom Menschen verursachten Risiken — einschließlich Risiken grenzüberschreitender oder sektorübergreifender Art — vornehmen, die sich auf die Erbringung wesentlicher Dienste auswirken könnten, wie Unfälle, Naturkatastrophen, gesundheitliche Notlagen wie etwa Pandemien und hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, krimineller Unterwanderung und Sabotage (im Folgenden „Risikobewertung durch Mitgliedstaaten“). Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten sollten die Mitgliedstaaten andere allgemeine oder sektorspezifische Risikobewertungen berücksichtigen, die gemäß anderen Unionsrechtsakten durchgeführt werden, und das Ausmaß der Abhängigkeit zwischen Sektoren, auch in Bezug auf Sektoren in anderen Mitgliedstaaten und Drittländern, Rechnung tragen. Die Ergebnisse der Risikobewertungen durch Mitgliedstaaten sollten bei der Ermittlung kritischer Einrichtungen verwendet werden sowie dazu, diese bei der Erfüllung ihrer Resilienzanforderungen zu unterstützen. Diese Richtlinie gilt nur für die Mitgliedstaaten und für die kritischen Einrichtungen, die in der Union tätig sind. Dennoch könnten die Fachkenntnisse und das Wissen, die von den zuständigen Behörden, insbesondere durch Risikobewertungen, sowie von der Kommission, insbesondere durch verschiedene Formen der Unterstützung und Zusammenarbeit, gewonnen werden, gegebenenfalls und im Einklang mit den geltenden Rechtsinstrumenten zugunsten von Drittländern — insbesondere derjenigen in der unmittelbaren Nachbarschaft der Union — genutzt werden, indem sie in die bestehende Zusammenarbeit im Bereich der Resilienz einfließen.

(16)

Um sicherzustellen, dass alle entsprechenden Einrichtungen den Resilienzanforderungen dieser Richtlinie unterliegen, und um diesbezügliche Unterschiede zu verringern, ist es wichtig, harmonisierte Vorschriften festzulegen, die eine einheitliche Ermittlung kritischer Einrichtungen in der gesamten Union ermöglichen und die es den Mitgliedstaaten dennoch auch erlauben, den Aufgaben und der Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen. Unter Anwendung der in dieser Richtlinie festgelegten Kriterien sollte jeder Mitgliedstaat Einrichtungen ermitteln, die einen oder mehrere wesentliche Dienste erbringen und die in seinem Hoheitsgebiet tätig sind und ihre kritischen Infrastrukturen befinden sich dort. Es sollte davon ausgegangen werden, dass eine Einrichtung im Hoheitsgebiet des Mitgliedstaats tätig ist, in dem sie Tätigkeiten ausübt, die für den betreffenden wesentlichen Dienst bzw. für die betreffenden wesentlichen Dienste erforderlich sind, und in dem sich die kritische Infrastruktur dieser Einrichtung, die zur Erbringung dieses Dienstes bzw. dieser Dienste genutzt wird, befindet. Wenn es in einem Mitgliedstaat keine Einrichtung gibt, die diese Kriterien erfüllt, sollte dieser Mitgliedstaat nicht verpflichtet sein, eine kritische Einrichtung in dem entsprechenden Sektor oder Teilsektor zu ermitteln. Im Interesse der Wirksamkeit, Effizienz, Kohärenz und Rechtssicherheit sollten geeignete Vorschriften festgelegt werden, um Einrichtungen mitzuteilen, dass sie als kritische Einrichtungen eingestuft wurden.

(17)

Die Mitgliedstaaten sollten der Kommission in einer Form, die die Ziele dieser Richtlinie erfüllt, eine Liste der wesentlichen Dienste, die Anzahl der für jeden der im Anhang genannten Sektoren und Teilsektoren ermittelten kritischen Einrichtungen und für den bzw. die von jeder Einrichtung geleisteten wesentlichen Dienst bzw. Dienste sowie die gegebenenfalls angewandten Schwellenwerte übermitteln. Schwellenwerte sollten als solche oder in aggregierter Form dargestellt werden können, d. h. die Informationen können gemittelt nach geografischem Gebiet, Jahr, Sektor, Teilsektor oder nach anderen Kriterien angegeben werden und Informationen über die Bandbreite der angegebenen Indikatoren enthalten.

(18)

Es sollten Kriterien festgelegt werden, um das Ausmaß einer durch einen Sicherheitsvorfall verursachten Störung zu bestimmen. Diese Kriterien sollten sich an den in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (6) festgelegten Kriterien orientieren, um die Anstrengungen der Mitgliedstaaten zur Ermittlung der Betreiber wesentlicher Dienste im Sinne jener Richtlinie und die diesbezüglich gewonnenen Erfahrungen zu nutzen. Schwere Krisen wie die COVID-19-Pandemie haben gezeigt, wie wichtig es ist, die Sicherheit der Lieferketten zu gewährleisten, und wie deren Unterbrechung negative wirtschaftliche und gesellschaftliche Auswirkungen in sehr vielen Sektoren und auf grenzüberschreitender Ebene haben kann. Daher sollten die Mitgliedstaaten bei der Bestimmung des Ausmaßes der Abhängigkeit anderer Sektoren und Teilsektoren von wesentlichen Diensten einer kritischen Einrichtung so weit wie möglich auch die Auswirkungen auf die Lieferketten berücksichtigen.

(19)

Im Einklang mit geltendem Unionsrecht und nationalem Recht, einschließlich der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates (7), mit der ein Rahmen für die Überprüfung ausländischer Direktinvestitionen in der Union geschaffen wurde, muss die potenzielle Bedrohung durch ausländische Beteiligungen an kritischen Infrastrukturen in der Union anerkannt werden, da Dienste, die Wirtschaft, die Freizügigkeit und die Sicherheit der Unionsbürgerinnen und Unionsbürger vom ordnungsgemäßen Funktionieren der kritischen Infrastrukturen abhängen.

(20)

Mit der Richtlinie (EU) 2022/2555 werden Einrichtungen im Bereich digitale Infrastruktur, die für eine Einstufung als kritische Einrichtungen im Sinne dieser Richtlinie in Frage kommen könnten, verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, und erhebliche Sicherheitsvorfälle und Cyberbedrohungen zu melden. Da Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, wird in der Richtlinie (EU) 2022/2555 ein „gefahrenübergreifender“ Ansatz angewandt, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.

Da die in der Richtlinie (EU) 2022/2555 diesbezüglich festgelegten Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie zumindest gleichwertig sind, sollten die in Artikel 11 und in Kapitel III, IV und VI dieser Richtlinie festgelegten Verpflichtungen für Einrichtungen im Bereich digitale Infrastruktursektor nicht gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden. Angesichts dessen, dass die von Einrichtungen im Bereich digitale Infrastruktur erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch Einrichtungen im Bereich digitale Infrastruktur als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Vorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

(21)

Die Rechtsvorschriften der Union für Finanzdienstleistungen enthalten umfassende Anforderungen für Finanzunternehmen in Bezug auf die Steuerung aller ihrer Risiken, einschließlich der operationellen Risiken, und die Aufrechterhaltung des Betriebs. Diese Rechtsvorschriften umfassen die Verordnungen (EU) Nr. 648/2012 (8) (EU) Nr. 575/2013 (9) und (EU) Nr. 600/2014 (10) des Europäischen Parlaments und des Rates und die Richtlinien 2013/36/EU (11) und 2014/65/EU (12) des Europäischen Parlaments und des Rates. Dieser Rechtsrahmen wird durch die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (13) ergänzt, in der Anforderungen an Finanzunternehmen in Bezug auf den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) und einschließlich hinsichtlich des Schutzes physischer IKT-Infrastrukturen festgelegt sind. Da die Resilienz dieser Einrichtungen daher umfassend abgedeckt wird, sollten Artikel 11 und die Kapitel III, IV und VI dieser Richtlinie nicht für diese Einrichtungen gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden.

In Anbetracht dessen, dass die von Einrichtungen im Finanzsektor erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch im Finanzsektor tätige Einrichtungen als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Rechtsvorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

(22)

Die Mitgliedstaaten sollten Behörden benennen oder einrichten, die für die Überwachung der Anwendung dieser Richtlinie und erforderlichenfalls für die Durchsetzung ihrer Vorschriften zuständig sind, und dafür sorgen, dass diese Behörden über angemessene Befugnisse und Ressourcen verfügen. Angesichts der unterschiedlichen nationalen Verwaltungsstrukturen, um bestehende sektorbezogene Vereinbarungen oder Aufsichts- und Regulierungsstellen der Union beizubehalten und um Doppelarbeit zu vermeiden, sollten die Mitgliedstaaten befugt sein, mehr als eine zuständige Behörde zu benennen oder einzurichten. Wenn die Mitgliedstaaten mehr als eine zuständige Behörde benennen oder einrichten, sollten sie die jeweiligen Aufgaben der betreffenden Behörden klar abgrenzen und sicherstellen, dass sie reibungslos und wirksam zusammenarbeiten. Alle zuständigen Behörden sollten auch generell sowohl auf Unionsebene als auch auf nationaler Ebene mit anderen entsprechenden Behörden zusammenarbeiten.

(23)

Zur Erleichterung der grenzüberschreitenden Zusammenarbeit und Kommunikation, und um die effektive Umsetzung dieser Richtlinie zu ermöglichen, sollte jeder Mitgliedstaat unbeschadet der Anforderungen der sektorbezogenen Rechtsakte der Union eine — gegebenenfalls innerhalb einer zuständigen Behörde angesiedelte —zentrale Anlaufstelle benennen, die für die Koordinierung von Fragen im Zusammenhang mit der Resilienz kritischer Einrichtungen und für die grenzüberschreitende Zusammenarbeit auf Unionsebene zuständig ist (im Folgenden „zentrale Anlaufstelle“). Jede zentrale Anlaufstelle sollte mit den zuständigen Behörden ihres Mitgliedstaats, mit den zentralen Anlaufstellen anderer Mitgliedstaaten und mit der Gruppe für die Resilienz kritischer Einrichtungen in Kontakt stehen und gegebenenfalls die Kommunikation mit ihnen abstimmen.

(24)

Die gemäß der vorliegenden Richtlinie und gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle sowie nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle, die kritische Einrichtungen betreffen, und in Bezug auf entsprechende Maßnahmen, die von gemäß der vorliegenden Richtlinie und der Richtlinie 2022/2555 zuständigen Behörden ergriffen werden, zusammenarbeiten und Informationen austauschen. Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die Anforderungen nach der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 komplementär umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser und jener Richtlinie erforderliche Maß hinausgeht.

(25)

Unbeschadet der eigenen rechtlichen Verantwortung der kritischen Einrichtungen, die in der vorliegenden Richtlinie enthaltenen Verpflichtungen einzuhalten, sollten die Mitgliedstaaten die kritischen Einrichtungen, insbesondere jene, die als kleine oder mittlere Unternehmen einzustufen sind, im Einklang mit den Verpflichtungen von Mitgliedstaaten aus der vorliegenden Richtlinie beim Ausbau ihrer Resilienz unterstützen und dabei übermäßigem Verwaltungsaufwand vorbeugen. Die Mitgliedstaaten könnten insbesondere Leitfäden und Methoden für ihre kritischen Einrichtungen entwickeln, sie bei der Organisation von Übungen zur Überprüfung der Resilienz kritischer Einrichtungen unterstützen sowie Beratung und Schulungen für das Personal kritischer Einrichtungen bereitstellen. Sofern dies erforderlich und durch Ziele des Allgemeininteresses gerechtfertigt ist, könnten die Mitgliedstaaten Finanzmittel bereitstellen und sollten unbeschadet der Anwendung der im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) festgelegten Wettbewerbsregeln den freiwilligen Informationsaustausch und den Austausch bewährter Verfahren zwischen kritischen Einrichtungen erleichtern.

(26)

Um die Resilienz der von den Mitgliedstaaten ermittelten kritischen Einrichtungen zu verbessern und den Verwaltungsaufwand für diese kritischen Einrichtungen zu verringern, sollten die zuständigen Behörden einander gegebenenfalls zur Sicherstellung einer einheitlichen Anwendung dieser Richtlinie konsultieren. Diese Konsultationen sollten auf Antrag jeder interessierten zuständigen Behörde aufgenommen werden, und sie sollten darauf ausgerichtet sein, einen konvergenten Ansatz bezüglich miteinander verknüpfter kritischer Einrichtungen sicherzustellen, die kritische Infrastrukturen mit physischen Verbindungen zwischen zwei oder mehr Mitgliedstaaten nutzen, die derselben Gruppe oder Unternehmensstruktur angehören oder die in einem Mitgliedstaat ermittelt wurden und die wesentliche Dienste für andere oder in anderen Mitgliedstaaten erbringen.

(27)

Sind kritische Einrichtungen aufgrund von Bestimmungen des Unionsrechts oder des nationalen Rechts verpflichtet, für die Zwecke dieser Richtlinie relevante Risiken zu bewerten und Maßnahmen zur Gewährleistung ihrer eigenen Resilienz zu ergreifen, so sollten diese Anforderungen angemessen berücksichtigt werden, wenn es darum geht zu überwachen, ob kritische Einrichtungen diese Richtlinie einhalten.

(28)

Den kritischen Einrichtungen sollten die entsprechenden Risiken, denen sie ausgesetzt sind, in ihrer Gesamtheit bekannt sein, und sie sollten verpflichtet sein, diese Risiken zu analysieren. Zu diesem Zweck sollten sie immer, wenn ihre besondere Situation oder die Entwicklung der Risiken dies erfordern, und in jedem Fall alle vier Jahre Risikobewertungen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten (im Folgenden „Risikobewertung durch kritische Einrichtungen“). Haben kritische Einrichtungen aufgrund von Verpflichtungen aus anderen Rechtsakten andere Risikobewertungen vorgenommen oder Dokumente erstellt, die für die Risikobewertung durch kritische Einrichtungen nach der vorliegenden Richtlinie relevant sind, so sollten sie diese Bewertungen und Dokumente verwenden können, um die in der vorliegenden Richtlinie hinsichtlich der Risikobewertungen durch kritische Einrichtungen festgelegten Anforderungen zu erfüllen. Eine zuständige Behörde sollte in der Lage sein zu erklären, dass eine, durch eine kritische Einrichtung durchgeführte, bestehende Risikobewertung, die sich mit den entsprechenden Risiken und dem entsprechenden Ausmaß der Abhängigkeiten befasst, ganz oder teilweise den in dieser Richtlinie festgelegten Verpflichtungen entspricht.

(29)

Die kritischen Einrichtungen sollten technische, sicherheitsbezogene und organisatorische Maßnahmen ergreifen, die angemessen und geeignet sind für die Risiken, denen sie ausgesetzt sind, und um einen Sicherheitsvorfall zu verhindern, davor zu schützen, darauf zu reagieren, ihn abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, ihn aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen. Während die kritischen Einrichtungen diese Maßnahmen im Einklang mit der vorliegenden Richtlinie ergreifen sollten, sollten die Einzelheiten und der Umfang solcher Maßnahmen die einzelnen Risiken, die jede kritische Einrichtung im Rahmen ihrer Risikobewertung durch kritische Einrichtungen ermittelt hat, und die besondere Situation der betreffenden Einrichtung auf angemessene und verhältnismäßige Weise widerspiegeln. Damit ein einheitlicher Ansatz der Union gefördert wird, sollte die Kommission nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen nicht verbindliche Leitlinien erlassen, in denen diese technischen, sicherheitsbezogenen und organisatorischen Maßnahmen näher ausgeführt werden. Die Mitgliedstaaten sollten sicherstellen, dass jede kritische Einrichtung einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.

(30)

Um diese Ziele in Bezug auf die ermittelten Risiken zu erreichen, sollten kritische Einrichtungen die von ihnen ergriffenen Maßnahmen — auch im Interesse der Rechenschaftspflicht und der Wirksamkeit der Maßnahmen — in einem Resilienzplan oder in einem oder mehreren Dokumenten, die einem Resilienzplan gleichwertig sind, hinreichend detailliert beschreiben und diesen Plan in der Praxis anwenden. Hat eine kritische Einrichtung bereits technische, sicherheitsbezogene und organisatorische Maßnahmen ergriffen und Dokumente gemäß anderen Rechtsakten erstellt, die für Maßnahmen zur Verbesserung der Resilienz nach dieser Richtlinie relevant sind, so sollte sie, um Doppelarbeit zu vermeiden, in der Lage sein, diese Maßnahmen und Dokumente zu nutzen, um den Verpflichtungen in Bezug auf die Resilienzmaßnahmen gemäß der vorliegenden Richtlinie nachzukommen. Um Doppelarbeit zu vermeiden, sollte eine zuständige Behörde in der Lage sein, zu erklären, dass bestehende Resilienzmaßnahmen, die von einer kritischen Einrichtung ergriffen wurden, mit denen ihre Verpflichtung, technische, sicherheitsbezogene und organisatorische Maßnahmen gemäß der vorliegenden Richtlinie zu ergreifen, angegangen wird, ganz oder teilweise den Anforderungen dieser Richtlinie entsprechen.

(31)

Die Verordnungen (EG) Nr. 725/2004 (14) und (EG) Nr. 300/2008 (15) des Europäischen Parlaments und des Rates sowie die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates (16) enthalten Verpflichtungen für im Luft- und Seeverkehr tätige Einrichtungen, die darauf abstellen, Sicherheitsvorfälle, die auf rechtswidrige Handlungen zurückzuführen sind, zu verhindern und abzuwehren und die Folgen solcher Vorfälle zu begrenzen. Zwar sind die in dieser Richtlinie geforderten Maßnahmen breiter gefasst, was die zu behandelnden Risiken und die Art der zu ergreifenden Maßnahmen angeht, doch sollten die kritischen Einrichtungen in den betreffenden Sektoren in ihrem Resilienzplan oder gleichwertigen Dokumenten auch auf die gemäß jenen anderen Rechtsakten der Union ergriffenen Maßnahmen eingehen. Kritische Einrichtungen haben auch die Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates (17) zu berücksichtigen, mit der eine netzweite Bewertung der Straßen, um die Unfallrisiken abzubilden, sowie eine gezielte Straßensicherheitsüberprüfung eingeführt wird, um auf der Grundlage von Ortsbesichtigungen von bestehenden Straßen oder bestehenden Straßenabschnitten gefährliche Zustände, Mängel und Probleme zu ermitteln, die das Unfall- und Verletzungsrisiko erhöhen. Die Sicherstellung des Schutzes und der Resilienz kritischer Einrichtungen ist für den Eisenbahnsektor von größter Bedeutung, und kritische Einrichtungen werden ermutigt, bei der Umsetzung von Resilienzmaßnahmen nach der vorliegenden Richtlinie auf nicht verbindliche Leitlinien und Dokumente über bewährte Verfahren zu verweisen, die im Rahmen sektorspezifischer Initiativen, wie etwa der durch den Beschluss 2018/C 232/03 der Kommission (18) eingerichteten EU-Plattform für die Sicherheit im Schienenpersonenverkehr, ausgearbeitet wurden.

(32)

Das Risiko, dass Mitarbeiter kritischer Einrichtungen oder ihre Auftragnehmer beispielsweise ihre Zugangsrechte innerhalb der Organisation der kritischen Einrichtung missbrauchen, um Schaden zu verursachen, gibt zunehmend Anlass zur Sorge. Die Mitgliedstaaten sollten daher die Bedingungen präzisieren, unter denen kritische Einrichtungen in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertungen durch Mitgliedstaaten Anträge auf Zuverlässigkeitsüberprüfungen von Personen stellen dürfen, die bestimmten Kategorien ihres Personals angehören. Es sollte sichergestellt werden, dass die entsprechenden Behörden die Anträge innerhalb eines angemessenen Zeitrahmens prüfen und im Einklang mit dem nationalen Recht und den Verfahren sowie mit dem entsprechenden geltenden Unionsrecht, auch hinsichtlich des Schutzes personenbezogener Daten, verarbeiten. Um sich der Identität einer Person zu vergewissern, die einer Zuverlässigkeitsüberprüfung unterzogen wird, ist es angezeigt, dass die Mitgliedstaaten im Einklang mit dem geltenden Recht einen Identitätsnachweis wie einen Reisepass, einen nationalen Personalausweis oder eine digitale Form des Identitätsnachweises verlangen.

Solche Zuverlässigkeitsüberprüfungen sollten eine Prüfung des Strafregisters der betreffenden Person einschließen. Mitgliedstaaten sollten das Europäische Strafregisterinformationssystem gemäß den im Rahmenbeschluss 2009/315/JI des Rates (19) und — sofern relevant und anwendbar — in der Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates (20) festgelegten Verfahren zur Einholung von Informationen aus den Strafregistern von anderen Mitgliedstaaten nutzen. Die Mitgliedstaaten könnten — sofern relevant und anwendbar — auch auf das mit der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates (21) eingerichtete Schengener Informationssystem der zweiten Generation (SIS II), auf Erkenntnisse sowie auf sonstige verfügbare objektive Informationen zurückgreifen, die möglicherweise erforderlich sind, um festzustellen, ob die betreffende Person geeignet ist, in der Position zu arbeiten, für die die kritische Einrichtung eine Zuverlässigkeitsüberprüfung beantragt hat.

(33)

Es sollte ein Mechanismus für die Meldung bestimmter Sicherheitsvorfälle eingerichtet werden, um es den zuständigen Behörden zu ermöglichen, rasch und angemessen auf Sicherheitsvorfälle zu reagieren und sich einen umfassenden Überblick über die Auswirkungen, die Art, die Ursache und die möglichen Folgen von Sicherheitsvorfällen, die die kritischen Einrichtungen betreffen, zu verschaffen. Kritische Einrichtungen sollten den zuständigen Behörden unverzüglich Sicherheitsvorfälle melden, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten. Außer wenn dies in operativer Hinsicht nicht möglich ist, sollten kritische Einrichtungen spätestens 24 Stunden, nachdem sie Kenntnis von einem Sicherheitsvorfall erhalten haben, eine Erstmeldung übermitteln. Die Erstmeldung sollte nur die Informationen enthalten, die unbedingt erforderlich sind, um die zuständige Behörde über den Sicherheitsvorfall zu unterrichten und es der kritischen Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. In einer solchen Meldung sollte, soweit möglich, die mutmaßliche Ursache des Sicherheitsvorfalls angegeben werden. Die Mitgliedstaaten sollten sicherstellen, dass durch die Pflicht zur Übermittlung dieser Erstmeldung die Ressourcen der kritischen Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen, die Vorrang haben sollten, nicht beeinträchtigt werden. Der Erstmeldung sollte gegebenenfalls spätestens einen Monat nach dem Sicherheitsvorfall ein ausführlicher Bericht folgen. Der ausführliche Bericht sollte die ursprüngliche Meldung ergänzen und einen vollständigeren Überblick über den Sicherheitsvorfall bieten.

(34)

Die Normung sollte in erster Linie ein marktorientierter Vorgang bleiben. Es gibt jedoch möglicherweise noch immer Situationen, in denen es sich empfiehlt, die Einhaltung bestimmter Normen zu fordern. Die Mitgliedstaaten sollten, wenn dies sinnvoll ist, die Verwendung von europäischen und internationalen Normen und technischen Spezifikationen fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind.

(35)

Zwar sind kritische Einrichtungen in der Regel als Teil eines immer stärker verflochtenen Dienstleistungs- und Infrastrukturnetzes tätig und erbringen häufig wesentliche Dienste in mehr als einem Mitgliedstaat, doch sind einige dieser kritischen Einrichtungen für die Union und ihren Binnenmarkt von besonderer Bedeutung, da sie wesentliche Dienste für oder in sechs oder mehr Mitgliedstaaten erbringen und daher in den Genuss einer spezifischen Unterstützung auf Unionsebene kommen könnten. Daher sollten für Beratungsmissionen in Bezug auf solche kritischen Einrichtungen, die von besonderer Bedeutung für Europa sind, Vorschriften festgelegt werden. Diese Vorschriften sollten die Aufsichts- und Durchsetzungsvorschriften der vorliegenden Richtlinie unberührt lassen.

(36)

Sind zusätzliche Informationen erforderlich, um eine kritische Einrichtung bei der Erfüllung ihrer Verpflichtungen nach dieser Richtlinie beraten zu können oder um zu bewerten, ob eine kritische Einrichtung von besonderer Bedeutung für Europa diese Verpflichtungen erfüllt, so sollte der Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, auf ein begründetes Ersuchen der Kommission oder eines oder mehrerer Mitgliedstaaten, für die oder in denen der wesentliche Dienst erbracht wird, der Kommission bestimmte Informationen gemäß der vorliegenden Richtlinie bereitstellen. Die Kommission sollte im Einvernehmen mit dem Mitgliedstaat, der die kritische Einrichtung von besonderer Bedeutung für Europa als eine kritische Einrichtung eingestuft hat, in der Lage sein, eine Beratungsmission zur Bewertung der von dieser Einrichtung ergriffenen Maßnahmen zu organisieren. Um sicherzustellen, dass diese Beratungsmissionen ordnungsgemäß durchgeführt werden, sollten insbesondere in Bezug auf die Organisation und Durchführung von Beratungsmissionen, die zu ergreifenden Folgemaßnahmen und die Verpflichtungen, die sich für die betreffenden kritischen Einrichtungen von besonderer Bedeutung für Europa in diesem Zusammenhang ergeben, ergänzende Vorschriften festgelegt werden. Unbeschadet dessen, dass der Mitgliedstaat, in dem die Beratungsmission durchgeführt wird, sowie die betreffende kritische Einrichtung die in dieser Richtlinie festgelegten Vorschriften einhalten müssen, sollten die Beratungsmissionen den Rechtsvorschriften dieses Mitgliedstaats — beispielsweise über die genauen Bedingungen für den Zugang zu den entsprechenden Räumlichkeiten oder Dokumenten und über Rechtsbehelfe — unterliegen. Das für solche Beratungsmissionen erforderliche spezifische Fachwissen könnte gegebenenfalls über das durch den Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates (22) eingerichtete Zentrum für die Koordination von Notfallmaßnahmen angefordert werden.

(37)

Um die Kommission zu unterstützen und die Zusammenarbeit zwischen den Mitgliedstaaten sowie den Austausch von Informationen und bewährten Verfahren zu Fragen im Zusammenhang mit dieser Richtlinie zu erleichtern, sollte eine Gruppe für die Resilienz kritischer Einrichtungen als Expertengruppe der Kommission eingerichtet werden. Die Mitgliedstaaten sollten sich bemühen, eine wirksame und effiziente Zusammenarbeit der benannten Vertreter ihrer zuständigen Behörden in der Gruppe für die Resilienz kritischer Einrichtungen sicherzustellen, indem sie gegebenenfalls Vertreter benennen, die über eine Sicherheitsermächtigung verfügen. Die Gruppe für die Resilienz kritischer Einrichtungen sollte ihre Arbeit so bald wie möglich aufnehmen, damit während der Umsetzungsfrist dieser Richtlinie bereits zusätzliche Mittel für eine angemessene Zusammenarbeit zur Verfügung stehen. Die Gruppe für die Resilienz kritischer Einrichtungen sollte mit anderen entsprechenden sektorspezifischen Expertengruppen interagieren.

(38)

Die Gruppe für die Resilienz kritischer Einrichtungen sollte mit der durch die Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe zusammenarbeiten, um einen umfassenden Rahmen für die Cyberresilienz und die nicht cyberbezogene Resilienz kritischer Einrichtungen unterstützen. Die Gruppe für die Resilienz kritischer Einrichtungen und die durch die Richtlinie (EU) 2022/2555 eingesetzte Kooperationsgruppe sollten einen regelmäßigen Dialog aufnehmen, um die Zusammenarbeit zwischen den gemäß der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 zuständigen Behörden zu fördern und den Informationsaustausch insbesondere zu Themen, die für beide Gruppen von Belang sind, zu erleichtern.

(39)

Zur Verwirklichung der Ziele dieser Richtlinie und unbeschadet der rechtlichen Verantwortung der Mitgliedstaaten und der kritischen Einrichtungen, für die Erfüllung ihrer jeweiligen in der Richtlinie festgelegten Verpflichtungen zu sorgen, sollte die Kommission, sofern sie dies für angemessen hält, zuständige Behörden und kritische Einrichtungen unterstützen, um diesen die Erfüllung ihrer entsprechenden Verpflichtungen zu erleichtern. Bei der Unterstützung der Mitgliedstaaten und kritischen Einrichtungen bei der Umsetzung der Verpflichtungen aus dieser Richtlinie sollte die Kommission auf bestehenden Strukturen und Instrumenten aufbauen, beispielsweise auf denjenigen im Rahmen des mit dem Beschluss Nr. 1313/2013/EU eingerichteten Katastrophenschutzverfahrens der Union und dem Europäischen Referenznetz für den Schutz kritischer Infrastrukturen. Darüber hinaus sollte sie die Mitgliedstaaten über die Ressourcen unterrichten, die auf Unionsebene verfügbar sind, wie etwa im Rahmen des durch die Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates (23) eingerichteten Fonds für die innere Sicherheit, des durch die Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates (24) eingerichteten Programms „Horizont Europa“ oder anderer für die Resilienz kritischer Einrichtungen relevanter Instrumente.

(40)

Die Mitgliedstaaten sollten dafür sorgen, dass ihre zuständigen Behörden über bestimmte spezifische Befugnisse für die ordnungsgemäße Anwendung und Durchsetzung dieser Richtlinie in Bezug auf kritische Einrichtungen verfügen, die gemäß dieser Richtlinie ihrer rechtlichen Zuständigkeit unterliegen. Diese Befugnisse sollten insbesondere die Möglichkeit umfassen, Inspektionen und Audits durchzuführen, Aufsichtsmaßnahmen durchzuführen, kritische Einrichtungen dazu zu verpflichten, Informationen und Nachweise über die Maßnahmen vorzulegen, die sie zur Erfüllung ihrer Verpflichtungen ergriffen haben, und erforderlichenfalls Anordnungen zur Behebung festgestellter Verstöße zu erlassen. Beim Erlass solcher Anordnungen sollten die Mitgliedstaaten keine Maßnahmen vorschreiben, die über das hinausgehen, was erforderlich und verhältnismäßig ist, um die Erfüllung der jeweiligen Verpflichtung durch die betreffende kritische Einrichtung sicherzustellen, wobei insbesondere der Schwere des Verstoßes und der wirtschaftlichen Leistungsfähigkeit der betreffenden kritischen Einrichtung Rechnung zu tragen ist. Generell sollten diese Befugnisse mit angemessenen und wirksamen Garantien einhergehen, die im nationalen Recht im Einklang mit der Charta der Grundrechte der Europäischen Union festzulegen sind. Im Zuge der Bewertung, ob eine kritische Einrichtung ihre, in dieser Richtlinie festgelegten Verpflichtungen erfüllt, sollten die nach der vorliegenden Richtlinie zuständigen Behörden die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine in den Anwendungsbereich jener Richtlinie fallende Einrichtung auszuüben, die gemäß der vorliegenden Richtlinie als eine kritische Einrichtung eingestuft wurde. Die gemäß der vorliegenden Richtlinie zuständigen Behörden und die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen.

(41)

Um diese Richtlinie wirksam und kohärent anzuwenden, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zur Ergänzung dieser Richtlinie durch die Erstellung einer Liste der wesentlichen Dienste zu erlassen. Diese Liste sollte von den zuständigen Behörden für die Zwecke der Durchführung von Risikobewertungen durch Mitgliedstaaten und für die Ermittlung kritischer Einrichtungen gemäß dieser Richtlinie verwendet werden. In Anbetracht des in dieser Richtlinie verfolgten Ansatzes der Mindestharmonisierung ist diese Liste nicht erschöpfend, und die Mitgliedstaaten könnten sie durch zusätzliche wesentliche Dienste auf nationaler Ebene ergänzen, um nationalen Besonderheiten bei der Erbringung wesentlicher Dienste Rechnung zu tragen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (25) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(42)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Richtlinie sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (26) ausgeübt werden.

(43)

Da die Ziele dieser Richtlinie, nämlich die Gewährleistung der Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung sind, und die Verbesserung der Resilienz der diese Dienste erbringenden kritischen Einrichtungen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen der Wirkung der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(44)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (27) angehört und hat am 11. August 2021 eine Stellungnahme abgegeben.

(45)

Die Richtlinie 2008/114/EG sollte daher aufgehoben werden —