Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023XC0914(01)

    Mitteilung der Kommission Leitlinien der Kommission zur Anwendung des Artikels 3 Absatz 4 der Richtlinie (EU) 2022/2555 (NIS 2-Richtlinie) 2023/C 324/02

    C/2023/6070

    ABl. C 324 vom 14.9.2023, p. 2–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    14.9.2023   

    DE

    Amtsblatt der Europäischen Union

    C 324/2

    MITTEILUNG DER KOMMISSION

    Leitlinien der Kommission zur Anwendung des Artikels 3 Absatz 4 der Richtlinie (EU) 2022/2555 (NIS 2-Richtlinie)

    (2023/C 324/02)

    1.   

    Nach Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) (1) muss die Kommission mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich Leitlinien und Vorlagen für die in dieser Bestimmung festgelegten Verpflichtungen bereitstellen. In Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 wird auf Artikel 3 Absatz 3 derselben Richtlinie verwiesen, wonach die Mitgliedstaaten bis zum 17. April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen sowie der Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, erstellen müssen. Die Mitgliedstaaten müssen diese Liste danach regelmäßig, mindestens jedoch alle zwei Jahre, überprüfen und gegebenenfalls aktualisieren.

    2.   

    Für die Zwecke der Erstellung der Liste der wesentlichen und wichtigen Einrichtungen müssen die Mitgliedstaaten vorschreiben, dass die betreffenden Einrichtungen den zuständigen Behörden mindestens die folgenden Informationen übermitteln: Name, Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern der Einrichtung und gegebenenfalls betreffender Sektor und Teilsektor gemäß den Anhängen sowie gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie in den Anwendungsbereich dieser Richtlinie fallende Dienste erbringen. Anhang I dieser Leitlinien enthält eine Vorlage für die Erhebung dieser Informationen im Hinblick auf die Erstellung der Liste.

    3.   

    Um die Erstellung und Aktualisierung der Liste der wesentlichen und wichtigen Einrichtungen und der Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, zu erleichtern, sieht Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 vor, dass die Mitgliedstaaten die Möglichkeit haben sollen, nationale Mechanismen für die Selbstregistrierung der Einrichtungen (2) einzurichten.

    4.   

    Nach Artikel 3 Absatz 5 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten der Kommission und der Kooperationsgruppe bis zum 17. April 2025 und danach alle zwei Jahre mindestens die Anzahl der wesentlichen und wichtigen Einrichtungen mitteilen, die gemäß Artikel 3 Absatz 3 der Richtlinie für jeden in den Anhängen I und II der Richtlinie genannten Sektor und Teilsektor in die Liste aufgenommen wurden. Außerdem müssen die Mitgliedstaaten der Kommission sachdienliche Informationen über die Zahl der wesentlichen und wichtigen Einrichtungen, die gemäß Artikel 2 Absatz 2 Buchstaben b bis e der Richtlinie (EU) 2022/2555 ermittelt wurden, über den Sektor und Teilsektor, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmung, auf deren Grundlage sie ermittelt wurden, übermitteln. In Erwägungsgrund 19 der Richtlinie (EU) 2022/2555 heißt es, dass die Mitgliedstaaten aufgefordert werden, mit der Kommission Informationen über wesentliche und wichtige Einrichtungen und – im Falle eines Cybersicherheitsvorfalls großen Ausmaßes – relevante Informationen wie den Namen der betreffenden Einrichtung auszutauschen.

    5.   

    Zusätzlich zu der von den Mitgliedstaaten gemäß Artikel 3 Absatz 3 der Richtlinie (EU) 2022/2555 erstellten Liste müssen die Mitgliedstaaten nach Artikel 27 Absatz 2 der derselben Richtlinie von bestimmten Arten von Einrichtungen, die in Artikel 27 Absatz 1 der Richtlinie genannt sind, verlangen, dass sie den zuständigen Behörden bis zum 17. Januar 2025 folgende Angaben übermitteln: Name der Einrichtung, einschlägiger Sektor, Teilsektor und Art der Einrichtung gemäß Anhang I oder II der Richtlinie (falls zutreffend), Anschrift der Hauptniederlassung der Einrichtung und ihrer sonstigen Niederlassungen in der Union oder, falls sie nicht in der Union niedergelassen ist, Anschrift ihres nach Artikel 26 Absatz 3 der Richtlinie benannten Vertreters, aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Einrichtung und gegebenenfalls ihres gemäß Artikel 26 Absatz 3 der Richtlinie benannten Vertreters, die Mitgliedstaaten, in denen die Einrichtung Dienste erbringt, und die IP-Adressbereiche der Einrichtung. Nach Artikel 27 Absatz 3 der Richtlinie (EU) 2022/2555 verlangen die Mitgliedstaaten von den in Artikel 27 Absatz 1 der Richtlinie genannten Einrichtungen, dass sie im Falle einer Änderung der gemäß Artikel 27 Absatz 2 der Richtlinie übermittelten Angaben die zuständige Behörde unverzüglich, in jedem Fall aber innerhalb von drei Monaten ab dem Tag der Änderung, über diese Änderung unterrichten.

    6.   

    Nach Artikel 27 Absatz 5 der Richtlinie (EU) 2022/2555 werden die in Artikel 27 Absätze 2 und 3 der Richtlinie genannten Angaben gegebenenfalls über den in Artikel 3 Absatz 4 der Richtlinie genannten nationalen Mechanismus übermittelt. Zur Erhöhung der Verwaltungseffizienz enthält die diesen Leitlinien beigefügte Vorlage auch ein Muster für Anforderungen von Informationen, die sowohl für die Zwecke des Artikels 3 Absatz 3 als auch des Artikels 27 Absatz 2 der Richtlinie (EU) 2022/2555 erforderlich sind. Diese Vorlage wurde mit Unterstützung der ENISA erstellt.

    (1)   ABl. L 333 vom 27.12.2022, S. 80.

    (2)  Siehe dazu auch Erwägungsgrund 18 der Richtlinie 2022/2555.

    ANLAGE

    Vorlage für die Angaben, die für die in Artikel 3 Absatz 3 bzw. in Artikel 27 Absatz 2 der Richtlinie (EU) 2022/2555 genannte Liste erforderlich sind

    1.   

    Tätigkeitssektor gemäß der Richtlinie (EU) 2022/2555

    Anhang I –

    Sektoren mit hoher Kritikalität

    Energie

    Elektrizität

    Elektrizitätsunternehmen

    Verteilernetzbetreiber

    Übertragungsnetzbetreiber

    Erzeuger

    nominierte Strommarktbetreiber

    Marktteilnehmer, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste anbieten

    Betreiber von Ladepunkten, die für die Verwaltung und den Betrieb eines Ladepunkts zuständig sind und Endnutzern einen Aufladedienst erbringen, auch im Namen und Auftrag eines Mobilitätsdienstleisters

    Betreiber von Fernwärme und Fernkälte

    Erdöl

    Betreiber von Erdöl-Fernleitungen

    Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern und Erdöl-Fernleitungen

    zentrale Bevorratungsstellen

    Erdgas

    Versorgungsunternehmen

    Verteilernetzbetreiber

    Fernleitungsnetzbetreiber

    Betreiber von Speicheranlagen

    Betreiber von LNG-Anlagen

    Erdgasunternehmen

    Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

    Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

    Verkehr

    Luftverkehr

    Luftfahrtunternehmen

    Flughafenleitungsorgane

    Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste bereitstellen

    Schienenverkehr

    Infrastrukturbetreiber

    Eisenbahnunternehmen, einschließlich Betreiber von Serviceeinrichtungen

    Schifffahrt

    Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe

    Leitungsorgane einschließlich ihrer Hafenanlagen sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben

    Betreiber von Schiffsverkehrsdiensten (VTS)

    Straßenverkehr

    Straßenverkehrsbehörden, die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind, ausgenommen öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

    Betreiber intelligenter Verkehrssysteme

    Gesundheitswesen

    Gesundheitsdienstleister

    EU-Referenzlaboratorien

    Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel ausüben

    Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen

    Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch eingestuft werden (Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit)

    Trinkwasser – Lieferanten von und Unternehmen der Versorgung mit Wasser für den menschlichen Gebrauch, jedoch unter Ausschluss der Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

    Abwasser – Unternehmen, die kommunales Abwasser, häusliches Abwasser oder industrielles Abwasser sammeln, entsorgen oder behandeln, jedoch unter Ausschluss der Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

    Digitale Infrastruktur

    Betreiber von Internet-Knoten

    DNS-Diensteanbieter

    TLD-Namenregister

    Anbieter von Cloud-Computing-Diensten

    Anbieter von Rechenzentrumsdiensten

    Betreiber von Inhaltszustellnetzen

    Vertrauensdiensteanbieter

    Anbieter öffentlicher elektronischer Kommunikationsnetze oder

    Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste

    Verwaltung von IKT-Diensten (Business-to-Business)

    Anbieter verwalteter Dienste

    Anbieter verwalteter Sicherheitsdienste

    öffentliche Verwaltung

    Einrichtungen der öffentlichen Verwaltung von Zentralregierungen

    Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene

    Weltraum – Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze

    Anhang II –

    Sonstige kritische Sektoren

    Post- und Kurierdienste

    Abfallbewirtschaftung – Unternehmen der Abfallbewirtschaftung, ausgenommen Unternehmen, für die Abfallbewirtschaftung nicht ihre Hauptwirtschaftstätigkeit ist

    Produktion, Herstellung und Handel mit chemischen Stoffen – Unternehmen, die Stoffe herstellen, und Unternehmen, die Erzeugnisse aus Stoffen oder Gemischen produzieren

    Produktion, Verarbeitung und Vertrieb von Lebensmitteln – Lebensmittelunternehmen, die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind

    Verarbeitendes Gewerbe/Herstellung von Waren

    Herstellung von Medizinprodukten und In-vitro-Diagnostika

    Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen

    Herstellung von elektrischen Ausrüstungen

    Maschinenbau

    Herstellung von Kraftwagen und Kraftwagenteilen

    sonstiger Fahrzeugbau

    Anbieter digitaler Dienste

    Anbieter von Online-Marktplätzen

    Anbieter von Online-Suchmaschinen

    Anbieter von Plattformen für Dienste sozialer Netzwerke

    Forschungseinrichtungen
    Einrichtungen, die nicht in den Anhängen aufgeführt sind

    Einrichtungen, die Domänennamen-Registrierungsdienste erbringen

    Sonstige Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft wurden

    Einrichtungen, die nach nationalem Recht als Betreiber wesentlicher Dienste eingestuft wurden

    2.   

    Name der Einrichtung

    3.   

    Falls die Einrichtung in Artikel 27 Absatz 1 der Richtlinie (EU) 2022/2555 genannt wird (DNS-Diensteanbieter, TLD-Namenregister, Einrichtung, die Domänennamen-Registrierungsdienste erbringt, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke): Hat die Einrichtung ihre EU-Hauptniederlassung in diesem Mitgliedstaat oder, falls sie keine Niederlassung in der EU hat, ihren Vertreter in diesem Mitgliedstaat?

    4.   

    Anschrift der Niederlassung in diesem Mitgliedstaat Falls die Einrichtung in Artikel 27 Absatz 1 der Richtlinie (EU) 2022/2555 genannt wird: die Anschrift ihrer Hauptniederlassung, falls sie sich in diesem Mitgliedstaat befindet, sowie ihre sonstigen Niederlassungen in der EU. Falls sie keine Niederlassung hat, die Anschrift des gemäß Artikel 26 Absatz 3 der Richtlinie (EU) 2022/2555 benannten Vertreters in der EU, falls der Vertreter in diesem Mitgliedstaat ansässig ist.

    5.   

    Aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern in diesem Mitgliedstaat

    6.   

    IP-Adressbereiche der Einrichtung für diesen Mitgliedstaat

    7.   

    Falls die Einrichtung in Artikel 27 Absatz 1 der Richtlinie (EU) 2022/2555 genannt wird: eine Liste der Mitgliedstaaten, in denen die Einrichtung Dienste erbringt, die in den Anwendungsbereich der Richtlinie fallen.

    Top