This document is an excerpt from the EUR-Lex website
Document 52023XC0914(01)
Communication from the Commission Commission Guidelines on the application of Article 3(4) of Directive (EU) 2022/2555 (NIS 2 Directive) 2023/C 324/02
Mitteilung der Kommission Leitlinien der Kommission zur Anwendung des Artikels 3 Absatz 4 der Richtlinie (EU) 2022/2555 (NIS 2-Richtlinie) 2023/C 324/02
Mitteilung der Kommission Leitlinien der Kommission zur Anwendung des Artikels 3 Absatz 4 der Richtlinie (EU) 2022/2555 (NIS 2-Richtlinie) 2023/C 324/02
C/2023/6070
ABl. C 324 vom 14.9.2023, p. 2–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
14.9.2023 |
DE |
Amtsblatt der Europäischen Union |
C 324/2 |
MITTEILUNG DER KOMMISSION
Leitlinien der Kommission zur Anwendung des Artikels 3 Absatz 4 der Richtlinie (EU) 2022/2555 (NIS 2-Richtlinie)
(2023/C 324/02)
1.
Nach Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) (1) muss die Kommission mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) unverzüglich Leitlinien und Vorlagen für die in dieser Bestimmung festgelegten Verpflichtungen bereitstellen. In Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 wird auf Artikel 3 Absatz 3 derselben Richtlinie verwiesen, wonach die Mitgliedstaaten bis zum 17. April 2025 eine Liste der wesentlichen und wichtigen Einrichtungen sowie der Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, erstellen müssen. Die Mitgliedstaaten müssen diese Liste danach regelmäßig, mindestens jedoch alle zwei Jahre, überprüfen und gegebenenfalls aktualisieren.
2.
Für die Zwecke der Erstellung der Liste der wesentlichen und wichtigen Einrichtungen müssen die Mitgliedstaaten vorschreiben, dass die betreffenden Einrichtungen den zuständigen Behörden mindestens die folgenden Informationen übermitteln: Name, Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adressen, IP-Adressbereiche und Telefonnummern der Einrichtung und gegebenenfalls betreffender Sektor und Teilsektor gemäß den Anhängen sowie gegebenenfalls eine Liste der Mitgliedstaaten, in denen sie in den Anwendungsbereich dieser Richtlinie fallende Dienste erbringen. Anhang I dieser Leitlinien enthält eine Vorlage für die Erhebung dieser Informationen im Hinblick auf die Erstellung der Liste.
3.
Um die Erstellung und Aktualisierung der Liste der wesentlichen und wichtigen Einrichtungen und der Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, zu erleichtern, sieht Artikel 3 Absatz 4 der Richtlinie (EU) 2022/2555 vor, dass die Mitgliedstaaten die Möglichkeit haben sollen, nationale Mechanismen für die Selbstregistrierung der Einrichtungen (2) einzurichten.
4.
Nach Artikel 3 Absatz 5 der Richtlinie (EU) 2022/2555 müssen die Mitgliedstaaten der Kommission und der Kooperationsgruppe bis zum 17. April 2025 und danach alle zwei Jahre mindestens die Anzahl der wesentlichen und wichtigen Einrichtungen mitteilen, die gemäß Artikel 3 Absatz 3 der Richtlinie für jeden in den Anhängen I und II der Richtlinie genannten Sektor und Teilsektor in die Liste aufgenommen wurden. Außerdem müssen die Mitgliedstaaten der Kommission sachdienliche Informationen über die Zahl der wesentlichen und wichtigen Einrichtungen, die gemäß Artikel 2 Absatz 2 Buchstaben b bis e der Richtlinie (EU) 2022/2555 ermittelt wurden, über den Sektor und Teilsektor, zu dem sie gehören, über die Art der von ihnen erbrachten Dienste und über die Bestimmung, auf deren Grundlage sie ermittelt wurden, übermitteln. In Erwägungsgrund 19 der Richtlinie (EU) 2022/2555 heißt es, dass die Mitgliedstaaten aufgefordert werden, mit der Kommission Informationen über wesentliche und wichtige Einrichtungen und – im Falle eines Cybersicherheitsvorfalls großen Ausmaßes – relevante Informationen wie den Namen der betreffenden Einrichtung auszutauschen.
5.
Zusätzlich zu der von den Mitgliedstaaten gemäß Artikel 3 Absatz 3 der Richtlinie (EU) 2022/2555 erstellten Liste müssen die Mitgliedstaaten nach Artikel 27 Absatz 2 der derselben Richtlinie von bestimmten Arten von Einrichtungen, die in Artikel 27 Absatz 1 der Richtlinie genannt sind, verlangen, dass sie den zuständigen Behörden bis zum 17. Januar 2025 folgende Angaben übermitteln: Name der Einrichtung, einschlägiger Sektor, Teilsektor und Art der Einrichtung gemäß Anhang I oder II der Richtlinie (falls zutreffend), Anschrift der Hauptniederlassung der Einrichtung und ihrer sonstigen Niederlassungen in der Union oder, falls sie nicht in der Union niedergelassen ist, Anschrift ihres nach Artikel 26 Absatz 3 der Richtlinie benannten Vertreters, aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern der Einrichtung und gegebenenfalls ihres gemäß Artikel 26 Absatz 3 der Richtlinie benannten Vertreters, die Mitgliedstaaten, in denen die Einrichtung Dienste erbringt, und die IP-Adressbereiche der Einrichtung. Nach Artikel 27 Absatz 3 der Richtlinie (EU) 2022/2555 verlangen die Mitgliedstaaten von den in Artikel 27 Absatz 1 der Richtlinie genannten Einrichtungen, dass sie im Falle einer Änderung der gemäß Artikel 27 Absatz 2 der Richtlinie übermittelten Angaben die zuständige Behörde unverzüglich, in jedem Fall aber innerhalb von drei Monaten ab dem Tag der Änderung, über diese Änderung unterrichten.
6.
Nach Artikel 27 Absatz 5 der Richtlinie (EU) 2022/2555 werden die in Artikel 27 Absätze 2 und 3 der Richtlinie genannten Angaben gegebenenfalls über den in Artikel 3 Absatz 4 der Richtlinie genannten nationalen Mechanismus übermittelt. Zur Erhöhung der Verwaltungseffizienz enthält die diesen Leitlinien beigefügte Vorlage auch ein Muster für Anforderungen von Informationen, die sowohl für die Zwecke des Artikels 3 Absatz 3 als auch des Artikels 27 Absatz 2 der Richtlinie (EU) 2022/2555 erforderlich sind. Diese Vorlage wurde mit Unterstützung der ENISA erstellt.
(1) ABl. L 333 vom 27.12.2022, S. 80.
(2) Siehe dazu auch Erwägungsgrund 18 der Richtlinie 2022/2555.
ANLAGE
Vorlage für die Angaben, die für die in Artikel 3 Absatz 3 bzw. in Artikel 27 Absatz 2 der Richtlinie (EU) 2022/2555 genannte Liste erforderlich sind
1.
Tätigkeitssektor gemäß der Richtlinie (EU) 2022/2555
Anhang I – |
Sektoren mit hoher Kritikalität
|
Anhang II – |
Sonstige kritische Sektoren
|
2.
Name der Einrichtung
3.
Falls die Einrichtung in Artikel 27 Absatz 1 der Richtlinie (EU) 2022/2555 genannt wird (DNS-Diensteanbieter, TLD-Namenregister, Einrichtung, die Domänennamen-Registrierungsdienste erbringt, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke): Hat die Einrichtung ihre EU-Hauptniederlassung in diesem Mitgliedstaat oder, falls sie keine Niederlassung in der EU hat, ihren Vertreter in diesem Mitgliedstaat?
4.
Anschrift der Niederlassung in diesem Mitgliedstaat Falls die Einrichtung in Artikel 27 Absatz 1 der Richtlinie (EU) 2022/2555 genannt wird: die Anschrift ihrer Hauptniederlassung, falls sie sich in diesem Mitgliedstaat befindet, sowie ihre sonstigen Niederlassungen in der EU. Falls sie keine Niederlassung hat, die Anschrift des gemäß Artikel 26 Absatz 3 der Richtlinie (EU) 2022/2555 benannten Vertreters in der EU, falls der Vertreter in diesem Mitgliedstaat ansässig ist.
5.
Aktuelle Kontaktdaten, einschließlich E-Mail-Adressen und Telefonnummern in diesem Mitgliedstaat
6.
IP-Adressbereiche der Einrichtung für diesen Mitgliedstaat
7.
Falls die Einrichtung in Artikel 27 Absatz 1 der Richtlinie (EU) 2022/2555 genannt wird: eine Liste der Mitgliedstaaten, in denen die Einrichtung Dienste erbringt, die in den Anwendungsbereich der Richtlinie fallen.