27.12.2022   

DE

Amtsblatt der Europäischen Union

L 333/164


RICHTLINIE (EU) 2022/2557 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 14. Dezember 2022

über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

nach Stellungnahme des Ausschusses der Regionen (2),

gemäß dem ordentlichen Gesetzgebungsverfahren (3),

in Erwägung nachstehender Gründe:

(1)

In einer zunehmend verflochtenen Unionswirtschaft kommt kritischen Einrichtungen als Anbietern wesentlicher Dienste eine unverzichtbare Rolle bei der Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten im Binnenmarkt zu. Daher ist es von wesentlicher Bedeutung, einen Unionsrahmen zu schaffen, der sowohl darauf abzielt, die Resilienz kritischer Einrichtungen im Binnenmarkt durch die Festlegung harmonisierter Mindestverpflichtungen zu verbessern, als auch darauf, diesen Einrichtungen durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu helfen.

(2)

In der Richtlinie 2008/114/EG des Rates (4) ist ein Verfahren für die Ausweisung europäischer kritischer Infrastrukturen im Energiesektor und im Verkehrssektor vorgesehen, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen in mindestens zwei Mitgliedstaaten hätte. Den Schwerpunkt jener Richtlinie bildet ausschließlich der Schutz solcher Infrastrukturen. Bei der im Jahr 2019 durchgeführten Evaluierung der Richtlinie 2008/114/EG wurde jedoch festgestellt, dass aufgrund des zunehmend vernetzten und grenzüberschreitenden Charakters von Tätigkeiten, bei denen kritische Infrastrukturen genutzt werden, Schutzmaßnahmen für einzelne Objekte allein nicht ausreichen, um alle Störungen zu verhindern. Deshalb muss der Ansatz geändert und mit ihm sichergestellt werden, dass Risiken besser berücksichtigt werden, dass die Aufgaben und die Pflichten der kritischen Einrichtungen als Anbieter von Diensten, die für das Funktionieren des Binnenmarkts wesentlich sind, genauer festgelegt werden und kohärent sind und dass Unionsvorschriften angenommen werden, um die Resilienz kritischer Einrichtungen zu verbessern. So sollten kritische Einrichtungen in der Lage sein, ihre Fähigkeit zu stärken, Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste stören könnten, zu verhindern, sich davor zu schützen, darauf zu reagieren, sie abzuwehren, zu begrenzen, aufzufangen, zu bewältigen und sich von solchen Vorfällen zu erholen.

(3)

Zwar wird mit einer Reihe von Maßnahmen sowohl auf Unionsebene, wie das Europäische Programm für den Schutz kritischer Infrastrukturen, als auch auf nationaler Ebene die Unterstützung des Schutzes kritischer Infrastrukturen in der Union angestrebt, jedoch sollte noch mehr unternommen werden, um die Einrichtungen, die solche Infrastrukturen betreiben, besser auszustatten, um auf Risiken für ihren Betrieb reagieren zu können, die zur Störung der Erbringung von wesentlichen Diensten führen könnten. Es sollte auch mehr unternommen werden, damit diese Einrichtungen besser ausgestattet sind, da eine dynamische Bedrohungslage besteht, die sich wandelnde hybride und terroristische Bedrohungen sowie wachsende gegenseitige Abhängigkeiten zwischen Infrastrukturen und Sektoren einschließt. Ferner besteht ein erhöhtes physisches Risiko im Zusammenhang mit Naturkatastrophen und dem Klimawandel, der die Häufigkeit und das Ausmaß von Wetterextremen erhöht und zu langfristigen Veränderungen der durchschnittlichen Klimaverhältnisse führt, die die Kapazität, Effizienz und Lebensdauer bestimmter Infrastrukturarten verringern können, wenn keine Maßnahmen zur Anpassung an den Klimawandel getroffen werden. Darüber hinaus erfolgt die Ermittlung kritischer Einrichtungen im Binnenmarkt uneinheitlich, denn die entsprechenden Sektoren und Kategorien von Einrichtungen werden nicht in allen Mitgliedstaaten kohärent als kritisch eingestuft. Mit dieser Richtlinie sollte daher ein solides Maß an Harmonisierung in Bezug auf die in ihren Anwendungsbereich fallenden Sektoren und Kategorien von Einrichtungen erreicht werden.

(4)

Während bestimmte Wirtschaftssektoren wie der Energiesektor und der Verkehrssektor bereits durch sektorspezifische Rechtsakte der Union reguliert sind, enthalten diese Rechtsakte Bestimmungen, die nur bestimmte Aspekte der Resilienz der in diesen Sektoren tätigen Einrichtungen betreffen. Um die Resilienz der Einrichtungen, die für das reibungslose Funktionieren des Binnenmarkts von entscheidender Bedeutung sind, umfassend anzugehen, schafft diese Richtlinie einen übergreifenden Rahmen, der die Resilienz kritischer Einrichtungen gegenüber allen — durch Naturkatastrophen oder vom Menschen verursachten, unbeabsichtigten oder vorsätzlichen — Gefahren berücksichtigt.

(5)

Die wachsenden gegenseitigen Abhängigkeiten zwischen Infrastrukturen und Sektoren sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend verflochtenen Dienstleistungsnetzes, das wichtige Infrastrukturen in der gesamten Union nutzt, und zwar in den Sektoren Energie, Verkehr, Banken, Trinkwasser, Abwasser, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Gesundheit, Weltraum, Finanzmarktinfrastruktur sowie digitale Infrastruktur als auch in bestimmten Bereichen der öffentlichen Verwaltung. Der Weltraumsektor fällt in den Anwendungsbereich dieser Richtlinie in Bezug auf die Erbringung bestimmter Dienste, die von Bodeninfrastrukturen abhängig sind, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden; folglich fallen Infrastrukturen, die sich im Eigentum der Union befinden oder von der Union oder in ihrem Namen im Rahmen ihres Weltraumprogramms verwaltet oder betrieben werden, nicht in den Anwendungsbereich dieser Richtlinie.

Für den Energiesektor und insbesondere die Methoden der Elektrizitätserzeugung und -übertragung (in Bezug auf die Stromversorgung) gilt, dass — sofern dies als zweckmäßig erachtet wird — der Begriff Elektrizitätserzeugung auch die zur Übertragung von Elektrizität verwendeten Komponenten von Kernkraftwerken abdecken kann, nicht jedoch die spezifisch kerntechnischen Komponenten, die durch Verträge und das Unionsrecht, einschließlich der entsprechenden Rechtsvorschriften der Union im Nuklearbereich, erfasst werden. Der Prozess zur Ermittlung kritischer Einrichtungen im Lebensmittelsektor sollte der Art des Binnenmarktes in diesem Sektor und den umfassenden Unionsvorschriften in Bezug auf die allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts und der Lebensmittelsicherheit angemessen Rechnung tragen. Um daher einen verhältnismäßigen Ansatz sicherzustellen und die Rolle und Bedeutung jener Einrichtungen auf nationaler Ebene angemessen widerzuspiegeln, sollten kritische Einrichtungen daher nur unter Lebensmittelunternehmen ermittelt werden — unabhängig davon, ob sie gewinnorientiert sind oder nicht und ob es sich um öffentliche oder private Unternehmen handelt —, die ausschließlich in den Bereichen Logistik und Großhandel sowie industrielle Großproduktion und -verarbeitung mit einem auf nationaler Ebene beobachteten erheblichen Marktanteil tätig sind. Wegen dieser gegenseitigen Abhängigkeiten kann jede Störung wesentlicher Dienste, auch wenn sie anfänglich auf eine Einrichtung oder einen Sektor beschränkt ist, zu breiteren Kaskadeneffekten führen, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten im gesamten Binnenmarkt haben können. Größere Krisen wie die COVID-19-Pandemie haben gezeigt, wie anfällig unsere zunehmend verflochtenen Gesellschaften für Risiken mit erheblichen Auswirkungen und geringer Eintrittswahrscheinlichkeit sind.

(6)

Die an der Erbringung wesentlicher Dienste beteiligten Einrichtungen unterliegen zunehmend unterschiedlichen Anforderungen, die sich aus nationalem Recht ergeben. Der Umstand, dass in einigen Mitgliedstaaten weniger strenge Sicherheitsanforderungen für diese Einrichtungen gelten, führt nicht nur zu unterschiedlichen Resilienzniveaus, sondern bringt auch das Risiko negativer Auswirkungen auf die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten in der gesamten Union mit sich und führt ferner auch zu Hindernissen für das reibungslose Funktionieren des Binnenmarkts. Investoren und Unternehmen können sich auf resiliente kritische Einrichtungen verlassen und ihnen vertrauen, und Zuverlässigkeit und Vertrauen sind die Eckpfeiler eines gut funktionierenden Binnenmarkts. Ähnliche Arten von Einrichtungen gelten in einigen Mitgliedstaaten als kritisch, in anderen jedoch nicht, und selbst die als kritisch eingestuften Einrichtungen unterliegen in verschiedenen Mitgliedstaaten unterschiedlichen Anforderungen. Dies führt zu zusätzlichem und unnötigem Verwaltungsaufwand für grenzüberschreitend tätige Unternehmen, insbesondere für solche, die in Mitgliedstaaten mit strengeren Anforderungen tätig sind. Ein Unionsrahmen würde daher auch dazu führen, dass die Wettbewerbsbedingungen für kritische Einrichtungen in der gesamten Union angeglichen werden.

(7)

Um die Erbringung wesentlicher Dienste im Binnenmarkt sicherzustellen, die Resilienz kritischer Einrichtungen zu erhöhen und die grenzüberschreitende Zusammenarbeit zwischen den zuständigen Behörden zu verbessern, müssen harmonisierte Mindestvorschriften festgelegt werden. Es ist wichtig, dass diese Vorschriften in Bezug auf ihre Gestaltung und Umsetzung zukunftstauglich sind und gleichzeitig die notwendige Flexibilität bieten. Es ist auch von erheblicher Bedeutung, die Kapazitäten kritischer Einrichtungen für die Erbringung wesentlicher Dienste angesichts vielfältiger Risiken zu verbessern.

(8)

Um ein hohes Resilienzniveau zu erreichen, sollten die Mitgliedstaaten kritische Einrichtungen ermitteln, die einerseits besonderen Anforderungen und einer spezifischen Aufsicht unterliegen werden, und die andererseits gegenüber allen entsprechenden Risiken in besonderem Maße unterstützt und mit Leitfäden ausgestattet werden sollen.

(9)

Angesichts der Bedeutung der Cybersicherheit für die Resilienz kritischer Einrichtungen und im Sinne der Einheitlichkeit sollte möglichst dafür gesorgt werden, dass der Ansatz dieser Richtlinie und der Ansatz der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (5) kohärent sind. Im Hinblick auf die häufiger auftretenden Cyberrisiken und ihre besonderen Merkmale sieht die Richtlinie (EU) 2022/2555 für eine Vielzahl von Einrichtungen umfassende Anforderungen vor, die ihre Cybersicherheit gewährleisten sollen. Da die Richtlinie (EU) 2022/2555 das Thema Cybersicherheit ausreichend abdeckt, sollte der Inhalt jener Richtlinie unbeschadet der besonderen Regelungen für Einrichtungen, die im Bereich der digitalen Infrastruktur tätig sind, vom Anwendungsbereich der vorliegenden Richtlinie ausgenommen werden.

(10)

Wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie von den Mitgliedstaaten als zumindest gleichwertig anerkannt sind, sollten die entsprechenden Bestimmungen dieser Richtlinie keine Anwendung finden, damit Doppelarbeit und unnötiger Aufwand vermieden werden. In diesem Fall sollten die in diesen Rechtsakten der Union festgelegten entsprechenden Bestimmungen Anwendung finden. Wenn die entsprechenden Bestimmungen dieser Richtlinie nicht anwendbar sind, sollten auch die in dieser Richtlinie festgelegten Aufsichts- und Durchsetzungsbestimmungen nicht anwendbar sein.

(11)

Diese Richtlinie berührt nicht die Zuständigkeit der Mitgliedstaaten und ihrer Behörden hinsichtlich der Verwaltungsautonomie oder ihre Verantwortung für den Schutz der nationalen Sicherheit und Verteidigung oder ihre Befugnis zum Schutz anderer wesentlicher staatlicher Funktionen, insbesondere in Bezug auf die öffentliche Sicherheit, die territoriale Unversehrtheit und die Aufrechterhaltung der öffentlichen Ordnung. Der Ausschluss von Einrichtungen der öffentlichen Verwaltung vom Anwendungsbereich dieser Richtlinie sollte für Einrichtungen gelten, deren Tätigkeiten überwiegend in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, ausgeübt werden. Jedoch sollten Einrichtungen der öffentlichen Verwaltung, deren Tätigkeiten nur geringfügig mit diesen Bereichen zusammenhängen, in den Anwendungsbereich dieser Richtlinie fallen. Für die Zwecke dieser Richtlinie gelten Einrichtungen mit Regulierungsbefugnissen nicht als Einrichtungen, die Tätigkeiten im Bereich der Strafverfolgung ausüben, und sind demnach nicht vom Anwendungsbereich dieser Richtlinie ausgenommen. Einrichtungen der öffentlichen Verwaltung, die im Einklang mit einer internationalen Übereinkunft gemeinsam mit einem Drittland errichtet wurden, fallen nicht in den Anwendungsbereich dieser Richtlinie. Diese Richtlinie gilt nicht für die diplomatischen und die konsularischen Vertretungen der Mitgliedstaaten in Drittländern.

Bestimmte kritische Einrichtungen üben Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, aus oder erbringen ausschließlich Dienste für Einrichtungen der öffentlichen Verwaltung, die hauptsächlich in diesen Bereichen tätig sind. Im Hinblick auf die Verantwortung der Mitgliedstaaten für den Schutz der nationalen Sicherheit und Verteidigung sollten die Mitgliedstaaten beschließen können, dass die in dieser Richtlinie festgelegten Verpflichtungen für kritische Einrichtungen weder ganz noch teilweise für jene kritischen Einrichtungen gelten sollten, wenn die von ihnen erbrachten Dienste oder ausgeübten Tätigkeiten überwiegend mit den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten, zusammenhängen. Kritische Einrichtungen, deren Dienste oder Tätigkeiten nur geringfügig mit diesen Bereichen in Zusammenhang stehen, sollten in den Anwendungsbereich dieser Richtlinie fallen. Kein Mitgliedstaat sollte verpflichtet sein, Informationen bereitzustellen, deren Offenlegung seinen wesentlichen Interessen in Bezug auf seine nationale Sicherheit zuwiderlaufen würde. Unions- oder nationale Vorschriften zum Schutz von Verschlusssachen sowie Geheimhaltungsvereinbarungen sind von Belang.

(12)

Um die nationale Sicherheit bzw. die Sicherheit und die geschäftlichen Interessen kritischer Einrichtungen nicht zu gefährden, sollte der Zugang zu sensiblen Informationen, ihr Austausch und der Umgang mit ihnen umsichtig und mit besonderem Augenmerk auf die verwendeten Übertragungskanäle und Speicherkapazitäten erfolgen.

(13)

Im Hinblick auf die Gewährleistung eines umfassenden Ansatzes in Bezug auf die Resilienz kritischer Einrichtungen sollte jeder Mitgliedstaat über eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“) verfügen. Die Strategien sollten die umzusetzenden strategischen Ziele und politischen Maßnahmen festlegen. Im Interesse von Kohärenz und Effizienz sollte die Strategie so konzipiert sein, dass bestehende politische Strategien nahtlos einbezogen werden, wobei nach Möglichkeit auf entsprechenden bestehenden nationalen und sektorbezogenen Strategien, Plänen oder ähnlichen Dokumenten aufgebaut werden sollte. Zur Verwirklichung eines umfassenden Ansatzes sollten die Mitgliedstaaten sicherstellen, dass ihre Strategien in Bezug auf den Informationsaustausch über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie im Zusammenhang mit der Wahrnehmung von Aufsichtsaufgaben einen Rahmen für eine verstärkte Koordinierung zwischen der gemäß der vorliegenden Richtlinie zuständigen Behörde und der gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörde vorsehen. Bei der Einführung ihrer Strategien sollten die Mitgliedstaaten dem hybriden Charakter von Bedrohungen für kritische Einrichtungen gebührend Rechnung tragen.

(14)

Die Mitgliedstaaten sollten der Kommission ihre Strategien und deren wesentliche Aktualisierungen mitteilen, um insbesondere die Kommission in die Lage zu versetzen, die ordnungsgemäße Anwendung dieser Richtlinie in Bezug auf politische Ansätze für die Resilienz kritischer Einrichtungen auf nationaler Ebene zu bewerten. Die Strategien könnten erforderlichenfalls als Verschlusssache übermittelt werden. Die Kommission sollte einen zusammenfassenden Bericht über die von den Mitgliedstaaten übermittelten Strategien erstellen, der als Grundlage für den Austausch dienen soll, um bewährte Verfahren und Fragen von gemeinsamem Interesse im Rahmen einer Gruppe für die Resilienz kritischer Einrichtungen zu ermitteln. In Anbetracht der Sensibilität der im zusammenfassenden Bericht enthaltenen aggregierten Informationen — unabhängig davon, ob sie als Verschlusssache eingestuft sind oder nicht —, sollte die Kommission den zusammenfassenden Bericht mit dem angemessenen Maß an Bewusstsein für die Sicherheit der kritischen Einrichtungen, der Mitgliedstaaten und der Union verwalten. Damit die Ziele dieser Richtlinie erreicht werden, sollten der zusammenfassende Bericht und die Strategien vor rechtswidrigen oder böswilligen Handlungen geschützt werden und nur befugten Personen zugänglich sein. Die Übermittlung der Strategien und ihrer wesentlichen Aktualisierungen sollte auch dazu beitragen, dass die Kommission, die Entwicklungen bei den Ansätzen für die Resilienz kritischer Einrichtungen versteht, und in die Überwachung der Auswirkungen und des Mehrwerts dieser Richtlinie einfließen, die die Kommission regelmäßig zu überprüfen hat.

(15)

Die Maßnahmen der Mitgliedstaaten zur Ermittlung der kritischen Einrichtungen und zur Gewährleistung ihrer Resilienz sollten einem risikobasierten Ansatz folgen, bei dem diejenigen Einrichtungen im Fokus stehen, die für die Erfüllung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am bedeutendsten sind. Um einen solchen gezielten Ansatz zu ermöglichen, sollte jeder Mitgliedstaat innerhalb eines harmonisierten Rahmens eine Bewertung der entsprechenden natürlichen und vom Menschen verursachten Risiken — einschließlich Risiken grenzüberschreitender oder sektorübergreifender Art — vornehmen, die sich auf die Erbringung wesentlicher Dienste auswirken könnten, wie Unfälle, Naturkatastrophen, gesundheitliche Notlagen wie etwa Pandemien und hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten, krimineller Unterwanderung und Sabotage (im Folgenden „Risikobewertung durch Mitgliedstaaten“). Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten sollten die Mitgliedstaaten andere allgemeine oder sektorspezifische Risikobewertungen berücksichtigen, die gemäß anderen Unionsrechtsakten durchgeführt werden, und das Ausmaß der Abhängigkeit zwischen Sektoren, auch in Bezug auf Sektoren in anderen Mitgliedstaaten und Drittländern, Rechnung tragen. Die Ergebnisse der Risikobewertungen durch Mitgliedstaaten sollten bei der Ermittlung kritischer Einrichtungen verwendet werden sowie dazu, diese bei der Erfüllung ihrer Resilienzanforderungen zu unterstützen. Diese Richtlinie gilt nur für die Mitgliedstaaten und für die kritischen Einrichtungen, die in der Union tätig sind. Dennoch könnten die Fachkenntnisse und das Wissen, die von den zuständigen Behörden, insbesondere durch Risikobewertungen, sowie von der Kommission, insbesondere durch verschiedene Formen der Unterstützung und Zusammenarbeit, gewonnen werden, gegebenenfalls und im Einklang mit den geltenden Rechtsinstrumenten zugunsten von Drittländern — insbesondere derjenigen in der unmittelbaren Nachbarschaft der Union — genutzt werden, indem sie in die bestehende Zusammenarbeit im Bereich der Resilienz einfließen.

(16)

Um sicherzustellen, dass alle entsprechenden Einrichtungen den Resilienzanforderungen dieser Richtlinie unterliegen, und um diesbezügliche Unterschiede zu verringern, ist es wichtig, harmonisierte Vorschriften festzulegen, die eine einheitliche Ermittlung kritischer Einrichtungen in der gesamten Union ermöglichen und die es den Mitgliedstaaten dennoch auch erlauben, den Aufgaben und der Bedeutung dieser Einrichtungen auf nationaler Ebene angemessen Rechnung zu tragen. Unter Anwendung der in dieser Richtlinie festgelegten Kriterien sollte jeder Mitgliedstaat Einrichtungen ermitteln, die einen oder mehrere wesentliche Dienste erbringen und die in seinem Hoheitsgebiet tätig sind und ihre kritischen Infrastrukturen befinden sich dort. Es sollte davon ausgegangen werden, dass eine Einrichtung im Hoheitsgebiet des Mitgliedstaats tätig ist, in dem sie Tätigkeiten ausübt, die für den betreffenden wesentlichen Dienst bzw. für die betreffenden wesentlichen Dienste erforderlich sind, und in dem sich die kritische Infrastruktur dieser Einrichtung, die zur Erbringung dieses Dienstes bzw. dieser Dienste genutzt wird, befindet. Wenn es in einem Mitgliedstaat keine Einrichtung gibt, die diese Kriterien erfüllt, sollte dieser Mitgliedstaat nicht verpflichtet sein, eine kritische Einrichtung in dem entsprechenden Sektor oder Teilsektor zu ermitteln. Im Interesse der Wirksamkeit, Effizienz, Kohärenz und Rechtssicherheit sollten geeignete Vorschriften festgelegt werden, um Einrichtungen mitzuteilen, dass sie als kritische Einrichtungen eingestuft wurden.

(17)

Die Mitgliedstaaten sollten der Kommission in einer Form, die die Ziele dieser Richtlinie erfüllt, eine Liste der wesentlichen Dienste, die Anzahl der für jeden der im Anhang genannten Sektoren und Teilsektoren ermittelten kritischen Einrichtungen und für den bzw. die von jeder Einrichtung geleisteten wesentlichen Dienst bzw. Dienste sowie die gegebenenfalls angewandten Schwellenwerte übermitteln. Schwellenwerte sollten als solche oder in aggregierter Form dargestellt werden können, d. h. die Informationen können gemittelt nach geografischem Gebiet, Jahr, Sektor, Teilsektor oder nach anderen Kriterien angegeben werden und Informationen über die Bandbreite der angegebenen Indikatoren enthalten.

(18)

Es sollten Kriterien festgelegt werden, um das Ausmaß einer durch einen Sicherheitsvorfall verursachten Störung zu bestimmen. Diese Kriterien sollten sich an den in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (6) festgelegten Kriterien orientieren, um die Anstrengungen der Mitgliedstaaten zur Ermittlung der Betreiber wesentlicher Dienste im Sinne jener Richtlinie und die diesbezüglich gewonnenen Erfahrungen zu nutzen. Schwere Krisen wie die COVID-19-Pandemie haben gezeigt, wie wichtig es ist, die Sicherheit der Lieferketten zu gewährleisten, und wie deren Unterbrechung negative wirtschaftliche und gesellschaftliche Auswirkungen in sehr vielen Sektoren und auf grenzüberschreitender Ebene haben kann. Daher sollten die Mitgliedstaaten bei der Bestimmung des Ausmaßes der Abhängigkeit anderer Sektoren und Teilsektoren von wesentlichen Diensten einer kritischen Einrichtung so weit wie möglich auch die Auswirkungen auf die Lieferketten berücksichtigen.

(19)

Im Einklang mit geltendem Unionsrecht und nationalem Recht, einschließlich der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates (7), mit der ein Rahmen für die Überprüfung ausländischer Direktinvestitionen in der Union geschaffen wurde, muss die potenzielle Bedrohung durch ausländische Beteiligungen an kritischen Infrastrukturen in der Union anerkannt werden, da Dienste, die Wirtschaft, die Freizügigkeit und die Sicherheit der Unionsbürgerinnen und Unionsbürger vom ordnungsgemäßen Funktionieren der kritischen Infrastrukturen abhängen.

(20)

Mit der Richtlinie (EU) 2022/2555 werden Einrichtungen im Bereich digitale Infrastruktur, die für eine Einstufung als kritische Einrichtungen im Sinne dieser Richtlinie in Frage kommen könnten, verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen, und erhebliche Sicherheitsvorfälle und Cyberbedrohungen zu melden. Da Gefahren für die Sicherheit von Netz- und Informationssystemen unterschiedliche Ursachen haben können, wird in der Richtlinie (EU) 2022/2555 ein „gefahrenübergreifender“ Ansatz angewandt, der die Resilienz von Netz- und Informationssystemen sowie die physischen Komponenten und das physische Umfeld dieser Systeme umfasst.

Da die in der Richtlinie (EU) 2022/2555 diesbezüglich festgelegten Anforderungen den entsprechenden Verpflichtungen aus dieser Richtlinie zumindest gleichwertig sind, sollten die in Artikel 11 und in Kapitel III, IV und VI dieser Richtlinie festgelegten Verpflichtungen für Einrichtungen im Bereich digitale Infrastruktursektor nicht gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden. Angesichts dessen, dass die von Einrichtungen im Bereich digitale Infrastruktur erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch Einrichtungen im Bereich digitale Infrastruktur als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Vorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

(21)

Die Rechtsvorschriften der Union für Finanzdienstleistungen enthalten umfassende Anforderungen für Finanzunternehmen in Bezug auf die Steuerung aller ihrer Risiken, einschließlich der operationellen Risiken, und die Aufrechterhaltung des Betriebs. Diese Rechtsvorschriften umfassen die Verordnungen (EU) Nr. 648/2012 (8) (EU) Nr. 575/2013 (9) und (EU) Nr. 600/2014 (10) des Europäischen Parlaments und des Rates und die Richtlinien 2013/36/EU (11) und 2014/65/EU (12) des Europäischen Parlaments und des Rates. Dieser Rechtsrahmen wird durch die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (13) ergänzt, in der Anforderungen an Finanzunternehmen in Bezug auf den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) und einschließlich hinsichtlich des Schutzes physischer IKT-Infrastrukturen festgelegt sind. Da die Resilienz dieser Einrichtungen daher umfassend abgedeckt wird, sollten Artikel 11 und die Kapitel III, IV und VI dieser Richtlinie nicht für diese Einrichtungen gelten, damit Doppelarbeit und unnötiger Verwaltungsaufwand vermieden werden.

In Anbetracht dessen, dass die von Einrichtungen im Finanzsektor erbrachten Dienste für kritische Einrichtungen aller anderen Wirtschaftssektoren sehr wichtig sind, sollten die Mitgliedstaaten jedoch auf der Grundlage der in der vorliegenden Richtlinie vorgesehenen Kriterien und Verfahren auch im Finanzsektor tätige Einrichtungen als kritische Einrichtungen ermitteln. Folglich sollten die Strategien, die Risikobewertungen durch Mitgliedstaaten und die Unterstützungsmaßnahmen gemäß Kapitel II dieser Richtlinie Anwendung finden. Die Mitgliedstaaten sollten in der Lage sein, nationale Rechtsvorschriften zu erlassen oder beizubehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

(22)

Die Mitgliedstaaten sollten Behörden benennen oder einrichten, die für die Überwachung der Anwendung dieser Richtlinie und erforderlichenfalls für die Durchsetzung ihrer Vorschriften zuständig sind, und dafür sorgen, dass diese Behörden über angemessene Befugnisse und Ressourcen verfügen. Angesichts der unterschiedlichen nationalen Verwaltungsstrukturen, um bestehende sektorbezogene Vereinbarungen oder Aufsichts- und Regulierungsstellen der Union beizubehalten und um Doppelarbeit zu vermeiden, sollten die Mitgliedstaaten befugt sein, mehr als eine zuständige Behörde zu benennen oder einzurichten. Wenn die Mitgliedstaaten mehr als eine zuständige Behörde benennen oder einrichten, sollten sie die jeweiligen Aufgaben der betreffenden Behörden klar abgrenzen und sicherstellen, dass sie reibungslos und wirksam zusammenarbeiten. Alle zuständigen Behörden sollten auch generell sowohl auf Unionsebene als auch auf nationaler Ebene mit anderen entsprechenden Behörden zusammenarbeiten.

(23)

Zur Erleichterung der grenzüberschreitenden Zusammenarbeit und Kommunikation, und um die effektive Umsetzung dieser Richtlinie zu ermöglichen, sollte jeder Mitgliedstaat unbeschadet der Anforderungen der sektorbezogenen Rechtsakte der Union eine — gegebenenfalls innerhalb einer zuständigen Behörde angesiedelte —zentrale Anlaufstelle benennen, die für die Koordinierung von Fragen im Zusammenhang mit der Resilienz kritischer Einrichtungen und für die grenzüberschreitende Zusammenarbeit auf Unionsebene zuständig ist (im Folgenden „zentrale Anlaufstelle“). Jede zentrale Anlaufstelle sollte mit den zuständigen Behörden ihres Mitgliedstaats, mit den zentralen Anlaufstellen anderer Mitgliedstaaten und mit der Gruppe für die Resilienz kritischer Einrichtungen in Kontakt stehen und gegebenenfalls die Kommunikation mit ihnen abstimmen.

(24)

Die gemäß der vorliegenden Richtlinie und gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle sowie nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle, die kritische Einrichtungen betreffen, und in Bezug auf entsprechende Maßnahmen, die von gemäß der vorliegenden Richtlinie und der Richtlinie 2022/2555 zuständigen Behörden ergriffen werden, zusammenarbeiten und Informationen austauschen. Es ist wichtig, dass die Mitgliedstaaten sicherstellen, dass die Anforderungen nach der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 komplementär umgesetzt werden und dass kritische Einrichtungen keinem Verwaltungsaufwand ausgesetzt sind, der über das zur Erreichung der Ziele dieser und jener Richtlinie erforderliche Maß hinausgeht.

(25)

Unbeschadet der eigenen rechtlichen Verantwortung der kritischen Einrichtungen, die in der vorliegenden Richtlinie enthaltenen Verpflichtungen einzuhalten, sollten die Mitgliedstaaten die kritischen Einrichtungen, insbesondere jene, die als kleine oder mittlere Unternehmen einzustufen sind, im Einklang mit den Verpflichtungen von Mitgliedstaaten aus der vorliegenden Richtlinie beim Ausbau ihrer Resilienz unterstützen und dabei übermäßigem Verwaltungsaufwand vorbeugen. Die Mitgliedstaaten könnten insbesondere Leitfäden und Methoden für ihre kritischen Einrichtungen entwickeln, sie bei der Organisation von Übungen zur Überprüfung der Resilienz kritischer Einrichtungen unterstützen sowie Beratung und Schulungen für das Personal kritischer Einrichtungen bereitstellen. Sofern dies erforderlich und durch Ziele des Allgemeininteresses gerechtfertigt ist, könnten die Mitgliedstaaten Finanzmittel bereitstellen und sollten unbeschadet der Anwendung der im Vertrag über die Arbeitsweise der Europäischen Union (AEUV) festgelegten Wettbewerbsregeln den freiwilligen Informationsaustausch und den Austausch bewährter Verfahren zwischen kritischen Einrichtungen erleichtern.

(26)

Um die Resilienz der von den Mitgliedstaaten ermittelten kritischen Einrichtungen zu verbessern und den Verwaltungsaufwand für diese kritischen Einrichtungen zu verringern, sollten die zuständigen Behörden einander gegebenenfalls zur Sicherstellung einer einheitlichen Anwendung dieser Richtlinie konsultieren. Diese Konsultationen sollten auf Antrag jeder interessierten zuständigen Behörde aufgenommen werden, und sie sollten darauf ausgerichtet sein, einen konvergenten Ansatz bezüglich miteinander verknüpfter kritischer Einrichtungen sicherzustellen, die kritische Infrastrukturen mit physischen Verbindungen zwischen zwei oder mehr Mitgliedstaaten nutzen, die derselben Gruppe oder Unternehmensstruktur angehören oder die in einem Mitgliedstaat ermittelt wurden und die wesentliche Dienste für andere oder in anderen Mitgliedstaaten erbringen.

(27)

Sind kritische Einrichtungen aufgrund von Bestimmungen des Unionsrechts oder des nationalen Rechts verpflichtet, für die Zwecke dieser Richtlinie relevante Risiken zu bewerten und Maßnahmen zur Gewährleistung ihrer eigenen Resilienz zu ergreifen, so sollten diese Anforderungen angemessen berücksichtigt werden, wenn es darum geht zu überwachen, ob kritische Einrichtungen diese Richtlinie einhalten.

(28)

Den kritischen Einrichtungen sollten die entsprechenden Risiken, denen sie ausgesetzt sind, in ihrer Gesamtheit bekannt sein, und sie sollten verpflichtet sein, diese Risiken zu analysieren. Zu diesem Zweck sollten sie immer, wenn ihre besondere Situation oder die Entwicklung der Risiken dies erfordern, und in jedem Fall alle vier Jahre Risikobewertungen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste stören könnten (im Folgenden „Risikobewertung durch kritische Einrichtungen“). Haben kritische Einrichtungen aufgrund von Verpflichtungen aus anderen Rechtsakten andere Risikobewertungen vorgenommen oder Dokumente erstellt, die für die Risikobewertung durch kritische Einrichtungen nach der vorliegenden Richtlinie relevant sind, so sollten sie diese Bewertungen und Dokumente verwenden können, um die in der vorliegenden Richtlinie hinsichtlich der Risikobewertungen durch kritische Einrichtungen festgelegten Anforderungen zu erfüllen. Eine zuständige Behörde sollte in der Lage sein zu erklären, dass eine, durch eine kritische Einrichtung durchgeführte, bestehende Risikobewertung, die sich mit den entsprechenden Risiken und dem entsprechenden Ausmaß der Abhängigkeiten befasst, ganz oder teilweise den in dieser Richtlinie festgelegten Verpflichtungen entspricht.

(29)

Die kritischen Einrichtungen sollten technische, sicherheitsbezogene und organisatorische Maßnahmen ergreifen, die angemessen und geeignet sind für die Risiken, denen sie ausgesetzt sind, und um einen Sicherheitsvorfall zu verhindern, davor zu schützen, darauf zu reagieren, ihn abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, ihn aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen. Während die kritischen Einrichtungen diese Maßnahmen im Einklang mit der vorliegenden Richtlinie ergreifen sollten, sollten die Einzelheiten und der Umfang solcher Maßnahmen die einzelnen Risiken, die jede kritische Einrichtung im Rahmen ihrer Risikobewertung durch kritische Einrichtungen ermittelt hat, und die besondere Situation der betreffenden Einrichtung auf angemessene und verhältnismäßige Weise widerspiegeln. Damit ein einheitlicher Ansatz der Union gefördert wird, sollte die Kommission nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen nicht verbindliche Leitlinien erlassen, in denen diese technischen, sicherheitsbezogenen und organisatorischen Maßnahmen näher ausgeführt werden. Die Mitgliedstaaten sollten sicherstellen, dass jede kritische Einrichtung einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.

(30)

Um diese Ziele in Bezug auf die ermittelten Risiken zu erreichen, sollten kritische Einrichtungen die von ihnen ergriffenen Maßnahmen — auch im Interesse der Rechenschaftspflicht und der Wirksamkeit der Maßnahmen — in einem Resilienzplan oder in einem oder mehreren Dokumenten, die einem Resilienzplan gleichwertig sind, hinreichend detailliert beschreiben und diesen Plan in der Praxis anwenden. Hat eine kritische Einrichtung bereits technische, sicherheitsbezogene und organisatorische Maßnahmen ergriffen und Dokumente gemäß anderen Rechtsakten erstellt, die für Maßnahmen zur Verbesserung der Resilienz nach dieser Richtlinie relevant sind, so sollte sie, um Doppelarbeit zu vermeiden, in der Lage sein, diese Maßnahmen und Dokumente zu nutzen, um den Verpflichtungen in Bezug auf die Resilienzmaßnahmen gemäß der vorliegenden Richtlinie nachzukommen. Um Doppelarbeit zu vermeiden, sollte eine zuständige Behörde in der Lage sein, zu erklären, dass bestehende Resilienzmaßnahmen, die von einer kritischen Einrichtung ergriffen wurden, mit denen ihre Verpflichtung, technische, sicherheitsbezogene und organisatorische Maßnahmen gemäß der vorliegenden Richtlinie zu ergreifen, angegangen wird, ganz oder teilweise den Anforderungen dieser Richtlinie entsprechen.

(31)

Die Verordnungen (EG) Nr. 725/2004 (14) und (EG) Nr. 300/2008 (15) des Europäischen Parlaments und des Rates sowie die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates (16) enthalten Verpflichtungen für im Luft- und Seeverkehr tätige Einrichtungen, die darauf abstellen, Sicherheitsvorfälle, die auf rechtswidrige Handlungen zurückzuführen sind, zu verhindern und abzuwehren und die Folgen solcher Vorfälle zu begrenzen. Zwar sind die in dieser Richtlinie geforderten Maßnahmen breiter gefasst, was die zu behandelnden Risiken und die Art der zu ergreifenden Maßnahmen angeht, doch sollten die kritischen Einrichtungen in den betreffenden Sektoren in ihrem Resilienzplan oder gleichwertigen Dokumenten auch auf die gemäß jenen anderen Rechtsakten der Union ergriffenen Maßnahmen eingehen. Kritische Einrichtungen haben auch die Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates (17) zu berücksichtigen, mit der eine netzweite Bewertung der Straßen, um die Unfallrisiken abzubilden, sowie eine gezielte Straßensicherheitsüberprüfung eingeführt wird, um auf der Grundlage von Ortsbesichtigungen von bestehenden Straßen oder bestehenden Straßenabschnitten gefährliche Zustände, Mängel und Probleme zu ermitteln, die das Unfall- und Verletzungsrisiko erhöhen. Die Sicherstellung des Schutzes und der Resilienz kritischer Einrichtungen ist für den Eisenbahnsektor von größter Bedeutung, und kritische Einrichtungen werden ermutigt, bei der Umsetzung von Resilienzmaßnahmen nach der vorliegenden Richtlinie auf nicht verbindliche Leitlinien und Dokumente über bewährte Verfahren zu verweisen, die im Rahmen sektorspezifischer Initiativen, wie etwa der durch den Beschluss 2018/C 232/03 der Kommission (18) eingerichteten EU-Plattform für die Sicherheit im Schienenpersonenverkehr, ausgearbeitet wurden.

(32)

Das Risiko, dass Mitarbeiter kritischer Einrichtungen oder ihre Auftragnehmer beispielsweise ihre Zugangsrechte innerhalb der Organisation der kritischen Einrichtung missbrauchen, um Schaden zu verursachen, gibt zunehmend Anlass zur Sorge. Die Mitgliedstaaten sollten daher die Bedingungen präzisieren, unter denen kritische Einrichtungen in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertungen durch Mitgliedstaaten Anträge auf Zuverlässigkeitsüberprüfungen von Personen stellen dürfen, die bestimmten Kategorien ihres Personals angehören. Es sollte sichergestellt werden, dass die entsprechenden Behörden die Anträge innerhalb eines angemessenen Zeitrahmens prüfen und im Einklang mit dem nationalen Recht und den Verfahren sowie mit dem entsprechenden geltenden Unionsrecht, auch hinsichtlich des Schutzes personenbezogener Daten, verarbeiten. Um sich der Identität einer Person zu vergewissern, die einer Zuverlässigkeitsüberprüfung unterzogen wird, ist es angezeigt, dass die Mitgliedstaaten im Einklang mit dem geltenden Recht einen Identitätsnachweis wie einen Reisepass, einen nationalen Personalausweis oder eine digitale Form des Identitätsnachweises verlangen.

Solche Zuverlässigkeitsüberprüfungen sollten eine Prüfung des Strafregisters der betreffenden Person einschließen. Mitgliedstaaten sollten das Europäische Strafregisterinformationssystem gemäß den im Rahmenbeschluss 2009/315/JI des Rates (19) und — sofern relevant und anwendbar — in der Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates (20) festgelegten Verfahren zur Einholung von Informationen aus den Strafregistern von anderen Mitgliedstaaten nutzen. Die Mitgliedstaaten könnten — sofern relevant und anwendbar — auch auf das mit der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates (21) eingerichtete Schengener Informationssystem der zweiten Generation (SIS II), auf Erkenntnisse sowie auf sonstige verfügbare objektive Informationen zurückgreifen, die möglicherweise erforderlich sind, um festzustellen, ob die betreffende Person geeignet ist, in der Position zu arbeiten, für die die kritische Einrichtung eine Zuverlässigkeitsüberprüfung beantragt hat.

(33)

Es sollte ein Mechanismus für die Meldung bestimmter Sicherheitsvorfälle eingerichtet werden, um es den zuständigen Behörden zu ermöglichen, rasch und angemessen auf Sicherheitsvorfälle zu reagieren und sich einen umfassenden Überblick über die Auswirkungen, die Art, die Ursache und die möglichen Folgen von Sicherheitsvorfällen, die die kritischen Einrichtungen betreffen, zu verschaffen. Kritische Einrichtungen sollten den zuständigen Behörden unverzüglich Sicherheitsvorfälle melden, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten. Außer wenn dies in operativer Hinsicht nicht möglich ist, sollten kritische Einrichtungen spätestens 24 Stunden, nachdem sie Kenntnis von einem Sicherheitsvorfall erhalten haben, eine Erstmeldung übermitteln. Die Erstmeldung sollte nur die Informationen enthalten, die unbedingt erforderlich sind, um die zuständige Behörde über den Sicherheitsvorfall zu unterrichten und es der kritischen Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. In einer solchen Meldung sollte, soweit möglich, die mutmaßliche Ursache des Sicherheitsvorfalls angegeben werden. Die Mitgliedstaaten sollten sicherstellen, dass durch die Pflicht zur Übermittlung dieser Erstmeldung die Ressourcen der kritischen Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen, die Vorrang haben sollten, nicht beeinträchtigt werden. Der Erstmeldung sollte gegebenenfalls spätestens einen Monat nach dem Sicherheitsvorfall ein ausführlicher Bericht folgen. Der ausführliche Bericht sollte die ursprüngliche Meldung ergänzen und einen vollständigeren Überblick über den Sicherheitsvorfall bieten.

(34)

Die Normung sollte in erster Linie ein marktorientierter Vorgang bleiben. Es gibt jedoch möglicherweise noch immer Situationen, in denen es sich empfiehlt, die Einhaltung bestimmter Normen zu fordern. Die Mitgliedstaaten sollten, wenn dies sinnvoll ist, die Verwendung von europäischen und internationalen Normen und technischen Spezifikationen fördern, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind.

(35)

Zwar sind kritische Einrichtungen in der Regel als Teil eines immer stärker verflochtenen Dienstleistungs- und Infrastrukturnetzes tätig und erbringen häufig wesentliche Dienste in mehr als einem Mitgliedstaat, doch sind einige dieser kritischen Einrichtungen für die Union und ihren Binnenmarkt von besonderer Bedeutung, da sie wesentliche Dienste für oder in sechs oder mehr Mitgliedstaaten erbringen und daher in den Genuss einer spezifischen Unterstützung auf Unionsebene kommen könnten. Daher sollten für Beratungsmissionen in Bezug auf solche kritischen Einrichtungen, die von besonderer Bedeutung für Europa sind, Vorschriften festgelegt werden. Diese Vorschriften sollten die Aufsichts- und Durchsetzungsvorschriften der vorliegenden Richtlinie unberührt lassen.

(36)

Sind zusätzliche Informationen erforderlich, um eine kritische Einrichtung bei der Erfüllung ihrer Verpflichtungen nach dieser Richtlinie beraten zu können oder um zu bewerten, ob eine kritische Einrichtung von besonderer Bedeutung für Europa diese Verpflichtungen erfüllt, so sollte der Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung ermittelt hat, auf ein begründetes Ersuchen der Kommission oder eines oder mehrerer Mitgliedstaaten, für die oder in denen der wesentliche Dienst erbracht wird, der Kommission bestimmte Informationen gemäß der vorliegenden Richtlinie bereitstellen. Die Kommission sollte im Einvernehmen mit dem Mitgliedstaat, der die kritische Einrichtung von besonderer Bedeutung für Europa als eine kritische Einrichtung eingestuft hat, in der Lage sein, eine Beratungsmission zur Bewertung der von dieser Einrichtung ergriffenen Maßnahmen zu organisieren. Um sicherzustellen, dass diese Beratungsmissionen ordnungsgemäß durchgeführt werden, sollten insbesondere in Bezug auf die Organisation und Durchführung von Beratungsmissionen, die zu ergreifenden Folgemaßnahmen und die Verpflichtungen, die sich für die betreffenden kritischen Einrichtungen von besonderer Bedeutung für Europa in diesem Zusammenhang ergeben, ergänzende Vorschriften festgelegt werden. Unbeschadet dessen, dass der Mitgliedstaat, in dem die Beratungsmission durchgeführt wird, sowie die betreffende kritische Einrichtung die in dieser Richtlinie festgelegten Vorschriften einhalten müssen, sollten die Beratungsmissionen den Rechtsvorschriften dieses Mitgliedstaats — beispielsweise über die genauen Bedingungen für den Zugang zu den entsprechenden Räumlichkeiten oder Dokumenten und über Rechtsbehelfe — unterliegen. Das für solche Beratungsmissionen erforderliche spezifische Fachwissen könnte gegebenenfalls über das durch den Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates (22) eingerichtete Zentrum für die Koordination von Notfallmaßnahmen angefordert werden.

(37)

Um die Kommission zu unterstützen und die Zusammenarbeit zwischen den Mitgliedstaaten sowie den Austausch von Informationen und bewährten Verfahren zu Fragen im Zusammenhang mit dieser Richtlinie zu erleichtern, sollte eine Gruppe für die Resilienz kritischer Einrichtungen als Expertengruppe der Kommission eingerichtet werden. Die Mitgliedstaaten sollten sich bemühen, eine wirksame und effiziente Zusammenarbeit der benannten Vertreter ihrer zuständigen Behörden in der Gruppe für die Resilienz kritischer Einrichtungen sicherzustellen, indem sie gegebenenfalls Vertreter benennen, die über eine Sicherheitsermächtigung verfügen. Die Gruppe für die Resilienz kritischer Einrichtungen sollte ihre Arbeit so bald wie möglich aufnehmen, damit während der Umsetzungsfrist dieser Richtlinie bereits zusätzliche Mittel für eine angemessene Zusammenarbeit zur Verfügung stehen. Die Gruppe für die Resilienz kritischer Einrichtungen sollte mit anderen entsprechenden sektorspezifischen Expertengruppen interagieren.

(38)

Die Gruppe für die Resilienz kritischer Einrichtungen sollte mit der durch die Richtlinie (EU) 2022/2555 eingesetzten Kooperationsgruppe zusammenarbeiten, um einen umfassenden Rahmen für die Cyberresilienz und die nicht cyberbezogene Resilienz kritischer Einrichtungen unterstützen. Die Gruppe für die Resilienz kritischer Einrichtungen und die durch die Richtlinie (EU) 2022/2555 eingesetzte Kooperationsgruppe sollten einen regelmäßigen Dialog aufnehmen, um die Zusammenarbeit zwischen den gemäß der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555 zuständigen Behörden zu fördern und den Informationsaustausch insbesondere zu Themen, die für beide Gruppen von Belang sind, zu erleichtern.

(39)

Zur Verwirklichung der Ziele dieser Richtlinie und unbeschadet der rechtlichen Verantwortung der Mitgliedstaaten und der kritischen Einrichtungen, für die Erfüllung ihrer jeweiligen in der Richtlinie festgelegten Verpflichtungen zu sorgen, sollte die Kommission, sofern sie dies für angemessen hält, zuständige Behörden und kritische Einrichtungen unterstützen, um diesen die Erfüllung ihrer entsprechenden Verpflichtungen zu erleichtern. Bei der Unterstützung der Mitgliedstaaten und kritischen Einrichtungen bei der Umsetzung der Verpflichtungen aus dieser Richtlinie sollte die Kommission auf bestehenden Strukturen und Instrumenten aufbauen, beispielsweise auf denjenigen im Rahmen des mit dem Beschluss Nr. 1313/2013/EU eingerichteten Katastrophenschutzverfahrens der Union und dem Europäischen Referenznetz für den Schutz kritischer Infrastrukturen. Darüber hinaus sollte sie die Mitgliedstaaten über die Ressourcen unterrichten, die auf Unionsebene verfügbar sind, wie etwa im Rahmen des durch die Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates (23) eingerichteten Fonds für die innere Sicherheit, des durch die Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates (24) eingerichteten Programms „Horizont Europa“ oder anderer für die Resilienz kritischer Einrichtungen relevanter Instrumente.

(40)

Die Mitgliedstaaten sollten dafür sorgen, dass ihre zuständigen Behörden über bestimmte spezifische Befugnisse für die ordnungsgemäße Anwendung und Durchsetzung dieser Richtlinie in Bezug auf kritische Einrichtungen verfügen, die gemäß dieser Richtlinie ihrer rechtlichen Zuständigkeit unterliegen. Diese Befugnisse sollten insbesondere die Möglichkeit umfassen, Inspektionen und Audits durchzuführen, Aufsichtsmaßnahmen durchzuführen, kritische Einrichtungen dazu zu verpflichten, Informationen und Nachweise über die Maßnahmen vorzulegen, die sie zur Erfüllung ihrer Verpflichtungen ergriffen haben, und erforderlichenfalls Anordnungen zur Behebung festgestellter Verstöße zu erlassen. Beim Erlass solcher Anordnungen sollten die Mitgliedstaaten keine Maßnahmen vorschreiben, die über das hinausgehen, was erforderlich und verhältnismäßig ist, um die Erfüllung der jeweiligen Verpflichtung durch die betreffende kritische Einrichtung sicherzustellen, wobei insbesondere der Schwere des Verstoßes und der wirtschaftlichen Leistungsfähigkeit der betreffenden kritischen Einrichtung Rechnung zu tragen ist. Generell sollten diese Befugnisse mit angemessenen und wirksamen Garantien einhergehen, die im nationalen Recht im Einklang mit der Charta der Grundrechte der Europäischen Union festzulegen sind. Im Zuge der Bewertung, ob eine kritische Einrichtung ihre, in dieser Richtlinie festgelegten Verpflichtungen erfüllt, sollten die nach der vorliegenden Richtlinie zuständigen Behörden die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine in den Anwendungsbereich jener Richtlinie fallende Einrichtung auszuüben, die gemäß der vorliegenden Richtlinie als eine kritische Einrichtung eingestuft wurde. Die gemäß der vorliegenden Richtlinie zuständigen Behörden und die gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen.

(41)

Um diese Richtlinie wirksam und kohärent anzuwenden, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zur Ergänzung dieser Richtlinie durch die Erstellung einer Liste der wesentlichen Dienste zu erlassen. Diese Liste sollte von den zuständigen Behörden für die Zwecke der Durchführung von Risikobewertungen durch Mitgliedstaaten und für die Ermittlung kritischer Einrichtungen gemäß dieser Richtlinie verwendet werden. In Anbetracht des in dieser Richtlinie verfolgten Ansatzes der Mindestharmonisierung ist diese Liste nicht erschöpfend, und die Mitgliedstaaten könnten sie durch zusätzliche wesentliche Dienste auf nationaler Ebene ergänzen, um nationalen Besonderheiten bei der Erbringung wesentlicher Dienste Rechnung zu tragen. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (25) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

(42)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Richtlinie sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (26) ausgeübt werden.

(43)

Da die Ziele dieser Richtlinie, nämlich die Gewährleistung der Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung sind, und die Verbesserung der Resilienz der diese Dienste erbringenden kritischen Einrichtungen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen der Wirkung der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(44)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (27) angehört und hat am 11. August 2021 eine Stellungnahme abgegeben.

(45)

Die Richtlinie 2008/114/EG sollte daher aufgehoben werden —

HABEN FOLGENDE RICHTLINIE ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Anwendungsbereich

(1)   Die vorliegende Richtlinie

a)

legt Verpflichtungen gegenüber Mitgliedstaaten fest zur Gewährleistung der ungehinderten Erbringung von Diensten im Binnenmarkt, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten unerlässlich sind, spezifische Maßnahmen im Sinne von Artikel 114 AEUV zu ergreifen, und insbesondere Verpflichtungen kritische Einrichtungen zu ermitteln und diese kritischen Einrichtungen dabei zu unterstützen, die ihnen auferlegten Verpflichtungen zu erfüllen;

b)

legt Verpflichtungen für kritische Einrichtungen fest, die darauf abzielen, ihre Resilienz und ihre Fähigkeit zur Erbringung von Diensten gemäß Buchstabe a im Binnenmarkt zu verbessern;

c)

legt Vorschriften fest im Hinblick auf

i)

die Beaufsichtigung kritischer Einrichtungen

ii)

die Durchsetzungsmaßnahmen;

iii)

die Ermittlung kritischer Einrichtungen, die für Europa von besonderer Bedeutung sind, und die Beratungsmissionen zur Bewertung der Maßnahmen, die diese kritischen Einrichtungen ergriffen haben, um deren Verpflichtungen gemäß Kapitel III nachzukommen;

d)

legt gemeinsame Verfahren für die Zusammenarbeit und die Berichterstattung über die Anwendung dieser Richtlinie fest;

e)

legt Maßnahmen fest, mit denen ein hohes Maß an Resilienz kritischer Einrichtungen erreicht werden soll, um die Erbringung wesentlicher Dienste in der Union sicherzustellen und das Funktionieren des Binnenmarkts zu verbessern.

(2)   Unbeschadet des Artikels 8 der vorliegenden Richtlinie gilt diese Richtlinie nicht für Angelegenheiten, die unter die Richtlinie (EU) 2022/2555 fallen. Angesichts der Beziehung zwischen physischer Sicherheit und Cybersicherheit kritischer Einrichtungen gewährleisten die Mitgliedstaaten eine koordinierte Umsetzung der vorliegenden Richtlinie und der Richtlinie (EU) 2022/2555.

(3)   Wenn kritische Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zur Verbesserung ihrer Resilienz ergreifen müssen und diese Anforderungen von den Mitgliedstaaten den entsprechenden Verpflichtungen aus dieser Richtlinie als zumindest gleichwertig anerkannt sind, finden die entsprechenden Bestimmungen dieser Richtlinie, einschließlich der in Kapitel VI festgelegten Bestimmungen über Aufsicht und Durchsetzung, keine Anwendung.

(4)   Unbeschadet des Artikels 346 AEUV werden Informationen, die gemäß den Vorschriften der Union oder der Mitgliedstaaten, wie z. B. Vorschriften über das Geschäftsgeheimnis, vertraulich sind, mit der Kommission und anderen entsprechenden Behörden in Übereinstimmung mit dieser Richtlinie nur ausgetauscht, wenn dieser Austausch für die Anwendung dieser Richtlinie erforderlich ist. Die auszutauschenden Informationen werden auf den zum Zweck dieses Informationsaustauschs relevanten und angemessenen Umfang beschränkt. Bei diesem Informationsaustausch werden die Vertraulichkeit der Informationen gewahrt sowie die Sicherheit und die geschäftlichen Interessen kritischer Einrichtungen unter Beachtung der Sicherheit der Mitgliedstaaten geschützt.

(5)   Diese Richtlinie lässt die Zuständigkeit der Mitgliedstaaten in Bezug auf die Aufrechterhaltung der nationalen Sicherheit und Verteidigung und ihre Befugnis, andere wesentliche staatliche Funktionen zu schützen, einschließlich der Wahrung der territorialen Unversehrtheit des Staates und der Aufrechterhaltung der öffentlichen Ordnung, unberührt.

(6)   Diese Richtlinie gilt nicht für Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung — einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten — ausüben.

(7)   Die Mitgliedstaaten können beschließen, dass Artikel 11 und die Kapitel III, IV und VI, ganz oder teilweise, keine Anwendung finden für spezifische kritische Einrichtungen, die Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung — einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten — ausüben oder Dienste ausschließlich für die in Absatz 6 des vorliegenden Artikels genannten Einrichtungen der öffentlichen Verwaltung erbringen.

(8)   Die in dieser Richtlinie festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen der Mitgliedstaaten im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

(9)   Das Unionsrecht betreffend den Schutz personenbezogener Daten, insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (28) und die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (29), bleibt von dieser Richtlinie unberührt.

Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck

1.

„kritische Einrichtung“ eine öffentliche oder private Einrichtung, die ein Mitgliedstaat in Anwendung des Artikels 6 als einer der Kategorien in der dritten Spalte der Tabelle im Anhang angehörend eingestuft hat;

2.

„Resilienz“ die Fähigkeit einer kritischen Einrichtung, einen Sicherheitsvorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Sicherheitsvorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen;

3.

„Sicherheitsvorfall“ ein Ereignis, das die Erbringung eines wesentlichen Dienstes erheblich stört oder stören könnte, einschließlich einer Beeinträchtigung der nationalen Systeme zur Wahrung der Rechtsstaatlichkeit;

4.

„kritische Infrastrukturen“ Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind;

5.

„wesentlicher Dienst“ einen Dienst, der für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung ist;

6.

„Risiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;

7.

„Risikobewertung“ den gesamten Prozess zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden;

8.

„Norm“ eine Norm im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (30);

9.

„technische Spezifikation“ eine technische Spezifikation im Sinne des Artikels 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012;

10.

„Einrichtung der öffentlichen Verwaltung“ eine als solche in einem Mitgliedstaat nach nationalem Recht anerkannte Einrichtung, mit Ausnahme der Justiz, der Parlamente und der Zentralbanken, die die folgenden Kriterien erfüllt:

a)

Sie wurde zu dem Zweck gegründet, im allgemeinen Interesse liegende Aufgaben zu erfüllen, und hat keinen gewerblichen oder kommerziellen Charakter;

b)

sie besitzt Rechtspersönlichkeit oder ist gesetzlich dazu befugt, im Namen einer anderen Einrichtung mit eigener Rechtspersönlichkeit zu handeln;

c)

sie wird überwiegend von staatlichen Behörden oder von anderen auf zentraler Ebene angesiedelten Körperschaften des öffentlichen Rechts finanziert, untersteht hinsichtlich ihrer Leitung der Aufsicht dieser Behörden oder Einrichtungen, oder sie hat ein Verwaltungs-, Leitungs- bzw. Aufsichtsorgan, das mehrheitlich aus Mitgliedern besteht, die von staatlichen Behörden oder von anderen auf zentraler Ebene angesiedelten Körperschaften des öffentlichen Rechts eingesetzt worden sind;

d)

sie ist befugt, an natürliche oder juristische Personen Verwaltungs- oder Regulierungsentscheidungen zu richten, die deren Rechte im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren.

Artikel 3

Mindestharmonisierung

Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen des nationalen Rechts zur Erreichung eines höheren Resilienzniveaus für kritische Einrichtungen zu erlassen oder beizubehalten, sofern diese Bestimmungen mit den Pflichten der Mitgliedstaaten nach dem Unionsrecht im Einklang stehen.

KAPITEL II

NATIONALE RAHMEN FÜR DIE RESILIENZ KRITISCHER EINRICHTUNGEN

Artikel 4

Strategien für die Resilienz kritischer Einrichtungen

(1)   Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, verabschiedet jeder Mitgliedstaat spätestens am 17. Januar 2026 eine Strategie zur Verbesserung der Resilienz kritischer Einrichtungen (im Folgenden „Strategie“). In der Strategie sind — aufbauend auf den bestehenden entsprechenden nationalen und sektorspezifischen Strategien, Plänen oder ähnlichen Dokumenten — die strategischen Ziele und politischen Maßnahmen festgelegt, mit denen ein hohes Resilienzniveau von kritischen Einrichtungen erreicht und aufrechterhalten werden soll und mindestens die im Anhang festgelegten Sektoren abgedeckt werden sollen.

(2)   Jede Strategie enthält mindestens folgende Elemente:

a)

strategische Ziele und Prioritäten zur Verbesserung der Gesamtresilienz kritischer Einrichtungen unter Berücksichtigung grenzüberschreitender und sektorübergreifender Abhängigkeiten und gegenseitiger Abhängigkeiten;

b)

einen Steuerungsrahmen zur Verwirklichung der strategischen Ziele und Prioritäten, einschließlich einer Beschreibung der Aufgaben und Zuständigkeiten der jeweiligen Behörden, kritischen Einrichtungen und sonstigen an der Umsetzung der Strategie beteiligten Akteure;

c)

eine Beschreibung der Maßnahmen, die zur Verbesserung der Gesamtresilienz kritischer Einrichtungen erforderlich sind, einschließlich einer Beschreibung der Risikobewertung nach Artikel 5;

d)

eine Beschreibung des Verfahrens zur Ermittlung kritischer Einrichtungen;

e)

eine Beschreibung des Prozesses zur Unterstützung kritischer Einrichtungen gemäß diesem Kapitel, einschließlich Maßnahmen zur Verbesserung der Zusammenarbeit zwischen dem öffentlichen Sektor einerseits und dem privaten Sektor und öffentlichen und privaten Einrichtungen andererseits;

f)

eine Liste der wichtigsten Behörden und entsprechenden Interessenvertretern — bei denen es sich nicht um kritische Einrichtungen handelt —, die an der Umsetzung der Strategie beteiligt sind;

g)

einen politischen Rahmen für die Koordinierung zwischen den gemäß der vorliegenden Richtlinie zuständigen Behörden (im Folgenden „zuständige Behörden“) und den gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden für die Zwecke des Informationsaustauschs über Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und über nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle sowie die Wahrnehmung von Aufsichtsaufgaben;

h)

eine Beschreibung der bereits bestehenden Maßnahmen zur Erleichterung der Umsetzung von Verpflichtungen gemäß Kapitel III der vorliegenden Richtlinie durch kleine und mittlere Unternehmen im Sinne des Anhangs der Empfehlung 2003/361/EG der Kommission (31), die von den betreffenden Mitgliedstaaten als kritische Einrichtungen eingestuft wurden.

Nach einer Konsultation, die — soweit praktisch möglich — den entsprechenden Interessenvertretern offensteht, aktualisieren die Mitgliedstaaten ihre Strategien mindestens alle vier Jahre.

(3)   Die Mitgliedstaaten teilen der Kommission ihre Strategien und deren wesentlichen Aktualisierungen innerhalb von drei Monaten nach ihrer Verabschiedung mit.

Artikel 5

Risikobewertung durch die Mitgliedstaaten

(1)   Der Kommission wird die Befugnis übertragen, bis zum 17. November 2023 delegierte Rechtsakte nach Artikel 23 zu erlassen, um diese Richtlinie durch eine nicht erschöpfende Liste wesentlicher Dienste in den im Anhang genannten Sektoren und Teilsektoren zu ergänzen. Die zuständigen Behörden verwenden jene Liste wesentlicher Dienste für die Zwecke einer Risikobewertung (im Folgenden „Risikobewertung durch Mitgliedstaaten“), die bis zum 17. Januar 2026 je nach Bedarf, mindestens aber alle vier Jahre, durchgeführt wird. Die zuständigen Behörden verwenden Risikobewertungen durch Mitgliedstaaten, um kritische Einrichtungen gemäß Artikel 6 zu ermitteln und diese bei der Ergreifung von Maßnahmen gemäß Artikel 13 zu unterstützen.

Bei Risikobewertungen durch Mitgliedstaaten werden die entsprechenden natürlichen und vom Menschen verursachten Risiken berücksichtigt, darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates (32).

(2)   Bei der Durchführung von Risikobewertungen durch Mitgliedstaaten berücksichtigen die Mitgliedstaaten mindestens

a)

die nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU vorgenommene allgemeine Risikobewertung;

b)

sonstige entsprechende Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Union, einschließlich der Verordnungen (EU) 2017/1938 (33) und (EU) 2019/941 (34) des Europäischen Parlaments und des Rates sowie der Richtlinien 2007/60/EG (35) und 2012/18/EU (36) des Europäischen Parlaments und des Rates, durchgeführt werden;

c)

die entsprechenden Risiken, die sich aus dem Ausmaß der Abhängigkeit zwischen den im Anhang genannten Sektoren, einschließlich dem Ausmaß der Abhängigkeit gegenüber in anderen Mitgliedstaaten und Drittstaaten ansässigen Einrichtungen, ergeben, sowie die Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann, darunter alle wesentlichen Risiken für die Bürger und Bürgerinnen und den Binnenmarkt;

d)

sämtliche gemäß Artikel 15 gemeldeten Informationen über Sicherheitsvorfälle.

Für die Zwecke von Unterabsatz 1 Buchstabe c arbeiten die Mitgliedstaaten mit den zuständigen Behörden anderer Mitgliedstaaten und gegebenenfalls mit den zuständigen Behörden aus Drittstaaten zusammen.

(3)   Die Mitgliedstaaten stellen die entsprechenden Elemente der Risikobewertungen durch Mitgliedstaaten den kritischen Einrichtungen, die sie gemäß Artikel 6 ermittelt haben, gegebenenfalls über ihre zentralen Anlaufstellen, zur Verfügung. Die Mitgliedstaaten stellen sicher, dass die den kritischen Einrichtungen zur Verfügung gestellten Informationen ihnen bei der Durchführung ihrer Risikobewertungen gemäß Artikel 12 und beim Ergreifen von Maßnahmen zur Gewährleistung ihrer Resilienz gemäß Artikel 13 unterstützen.

(4)   Innerhalb von drei Monaten nach Durchführung einer Risikobewertung durch Mitgliedstaaten übermittelt ein Mitgliedstaat der Kommission entsprechende Informationen über die ermittelten Arten von Risiken und die Ergebnisse dieser Risikobewertungen durch Mitgliedstaaten, aufgeschlüsselt nach den im Anhang genannten Sektoren und Teilsektoren.

(5)   Zum Zwecke der Einhaltung des Absatzes 4 arbeitet die Kommission in Zusammenarbeit mit den Mitgliedstaaten ein unverbindliches gemeinsames Berichtsmuster aus.

Artikel 6

Ermittlung kritischer Einrichtungen

(1)   Bis zum 17. Juli 2026 ermittelt jeder Mitgliedstaat die kritischen Einrichtungen für die im Anhang festgelegten Sektoren und Teilsektoren.

(2)   Wenn ein Mitgliedstaat kritische Einrichtungen gemäß Absatz 1 ermittelt, berücksichtigt er die Ergebnisse seiner Risikobewertung durch Mitgliedstaaten und seine Strategie und wendet alle folgenden Kriterien an:

a)

Die Einrichtung erbringt einen oder mehrere wesentliche Dienste,

b)

die Einrichtung ist im Hoheitsgebiet dieses Mitgliedstaats tätig und ihre kritische Infrastruktur befinden sich dort, und

c)

ein Sicherheitsvorfall würde eine erhebliche Störung im Sinne von Artikel 7 Absatz 1 bei der Erbringung eines oder mehrerer wesentlichen Dienste durch die Einrichtung, oder bei der Erbringung von anderen wesentlichen Diensten in den im Anhang genannten Sektoren, die von diesem oder diesen wesentlichen Diensten abhängen, bewirken.

(3)   Jeder Mitgliedstaat erstellt eine Liste der gemäß Absatz 2 ermittelten kritischen Einrichtungen und stellt sicher, dass diesen kritischen Einrichtungen innerhalb eines Monats nach der entsprechenden Ermittlung ihre Einstufung als kritische Einrichtung mitgeteilt wird. Unbeschadet des Artikels 8 informieren die Mitgliedstaaten diese kritischen Einrichtungen über ihre Verpflichtungen nach Kapiteln III und IV sowie über den Zeitpunkt, ab dem diese Verpflichtungen auf sie Anwendung finden. Die Mitgliedstaaten informieren die kritischen Einrichtungen in den in den Nummern 3, 4 und 8 der Tabelle des Anhangs genannten Sektoren darüber, dass sie keine Verpflichtungen nach Kapiteln III und IV haben, es sei denn, in den nationalen Maßnahmen ist etwas anderes bestimmt.

Für die betreffenden kritischen Einrichtungen gilt Kapitel III nach Ablauf von zehn Monaten ab dem Zeitpunkt der in Unterabsatz 1 des vorliegenden Absatzes genannten Mitteilung.

(4)   Die Mitgliedstaaten stellen sicher, dass ihre nach dieser Richtlinie zuständigen Behörden den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 innerhalb eines Monats nach der entsprechenden Einstufung die Identität der kritischen Einrichtungen mitteilen, die sie gemäß diesem Artikel ermittelt haben. In dieser Mitteilung wird gegebenenfalls angegeben, dass es sich bei den betreffenden kritischen Einrichtungen um Einrichtungen in den in den Nummern 3, 4 und 8 der Tabelle des Anhangs der vorliegenden Richtlinie genannten Sektoren handelt und dass sie keine Verpflichtungen nach den Kapiteln III und IV haben.

(5)   Die Mitgliedstaaten überprüfen die in Absatz 3 genannten Liste der ermittelten kritischen Einrichtungen im Bedarfsfall, mindestens jedoch alle vier Jahre, und aktualisieren sie gegebenenfalls. Führen diese Aktualisierungen zur Ermittlung weiterer kritischer Einrichtungen, so gelten die Absätze 3 und 4 für diese zusätzlichen kritischen Einrichtungen. Darüber hinaus stellen die Mitgliedstaaten sicher, dass Einrichtungen, die nach einer solchen Aktualisierung nicht mehr als kritische Einrichtung eingestuft werden, hiervon rechtzeitig in Kenntnis gesetzt und darüber informiert werden, dass sie ab dem Tag des Erhalts dieser Mitteilung nicht mehr den Verpflichtungen nach Kapitel III unterliegen.

(6)   Die Kommission arbeitet in Zusammenarbeit mit den Mitgliedstaaten Empfehlungen und unverbindliche Leitlinien aus, um die Mitgliedstaaten bei der Ermittlung kritischer Einrichtungen zu unterstützen.

Artikel 7

Erhebliche Störung

(1)   Bei der Bestimmung des Ausmaßes einer Störung gemäß Artikel 6 Absatz 2 Buchstabe c berücksichtigen die Mitgliedstaaten die folgenden Kriterien:

a)

die Zahl der Nutzer, die den von der betreffenden Einrichtung erbrachten wesentlichen Dienst in Anspruch nehmen;

b)

das Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren und Teilsektoren von dem betreffenden wesentlichen Dienst;

c)

die möglichen Auswirkungen von Sicherheitsvorfällen — hinsichtlich Ausmaß und Dauer — auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt, die öffentliche Ordnung und Sicherheit oder die Gesundheit der Bevölkerung;

d)

den Marktanteil der Einrichtung auf dem Markt für wesentliche Dienste oder für die betreffenden wesentlichen Dienste;

e)

das geografische Gebiet, das von einem Sicherheitsvorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete — zum Beispiel Inselregionen, abgelegene Regionen oder Berggebiete — verbunden sind;

f)

die Bedeutung der Einrichtung für die Aufrechterhaltung des wesentlichen Dienstes in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung des betreffenden wesentlichen Dienstes.

(2)   Nach der Ermittlung der kritischen Einrichtungen gemäß Artikel 6 Absatz 1 übermittelt jeder Mitgliedstaat der Kommission unverzüglich folgende Informationen:

a)

die Liste der wesentlichen Dienste in jenem Mitgliedstaat, wenn es dort zusätzliche wesentliche Dienste im Vergleich zu der in Artikel 5 Absatz 1 genannten Liste wesentlicher Dienste gibt,

b)

die Zahl der ermittelten kritischen Einrichtungen für jeden im Anhang festgelegten Sektor und Teilsektor und für jeden wesentlichen Dienst,

c)

alle Schwellenwerte, die zur Spezifizierung eines oder mehrerer der in Absatz 1 genannten Kriterien angewandt werden.

In Unterabsatz 1 Buchstabe c genannte Schwellenwerte können als solche oder in aggregierter Form dargestellt werden.

Anschließend übermitteln die Mitgliedstaaten Informationen gemäß Unterabsatz 1 im Bedarfsfall, mindestens jedoch alle vier Jahre.

(3)   Die Kommission nimmt nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen gemäß Artikel 19 unter Berücksichtigung der in Absatz 2 des vorliegenden Artikels genannten Informationen unverbindliche Leitlinien an, um die Anwendung der in Absatz 1 des vorliegenden Artikels genannten Kriterien zu erleichtern.

Artikel 8

Kritische Einrichtungen in den Sektoren Banken, Finanzmarktinfrastruktur und digitale Infrastruktur

Die Mitgliedstaaten stellen sicher, dass Artikel 11 und die Kapitel III, IV und VI nicht für die von ihnen ermittelten kritischen Einrichtungen in den Sektoren gelten, die unter den Nummern 3, 4 und 8 in der Tabelle im Anhang aufgeführt sind. Die Mitgliedstaaten können nationale Vorschriften erlassen oder beibehalten, um ein höheres Maß an Resilienz für diese kritischen Einrichtungen zu erreichen, sofern diese Vorschriften mit dem geltenden Unionsrecht vereinbar sind.

Artikel 9

Zuständige Behörden und zentrale Anlaufstelle

(1)   Jeder Mitgliedstaat benennt eine oder mehrere zuständige Behörden oder richtet diese ein, die für die ordnungsgemäße Anwendung und erforderlichenfalls Durchsetzung der in dieser Richtlinie festgelegten Vorschriften auf nationaler Ebene verantwortlich sind.

In Bezug auf die kritischen Einrichtungen in den Sektoren, die unter den Nummern 3 und 4 in der Tabelle im Anhang dieser Richtlinie festgelegt sind, sind die zuständigen Behörden grundsätzlich die in Artikel 46 der Verordnung (EU) 2022/2554 genannten zuständigen Behörden. In Bezug auf die kritischen Einrichtungen in den Sektoren, die unter der Nummer 8 in der Tabelle im Anhang dieser Richtlinie festgelegt sind, sind die zuständigen Behörden grundsätzlich die zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555. Die Mitgliedstaaten können im Einklang mit den bestehenden nationalen Rahmen eine andere zuständige Behörde für die in den Absätzen 3, 4 und 8 der im Anhang der vorliegenden Richtlinie festgelegten Tabelle aufgeführten Sektoren benennen.

Benennen die Mitgliedstaaten mehr als eine zuständige Behörde oder richten mehr als eine ein, so legen sie die Aufgaben jeder der betreffenden Behörden eindeutig fest und stellen sicher, dass diese wirksam zusammenarbeiten, um ihre Aufgaben im Rahmen dieser Richtlinie, unter anderem in Bezug auf die Benennung und die Tätigkeiten der zentralen Anlaufstelle gemäß Absatz 2, zu erfüllen.

(2)   Jeder Mitgliedstaat sorgt für die Benennung oder Errichtung einer einzigen zentralen Anlaufstelle, die als Verbindungsstelle zur Gewährleistung der grenzüberschreitenden Zusammenarbeit mit den zentralen Anlaufstellen anderer Mitgliedstaaten und mit der in Artikel 19 genannten Gruppe für die Resilienz kritischer Einrichtungen (im Folgenden „zentrale Anlaufstelle“) fungiert. Gegebenenfalls benennt ein Mitgliedstaat seine zentrale Anlaufstelle innerhalb einer zuständigen Behörde. Gegebenenfalls kann ein Mitgliedstaat vorsehen, dass seine zentrale Anlaufstelle auch als Verbindungsstelle zur Kommission fungiert und die Zusammenarbeit mit Drittländern gewährleistet.

(3)   Bis zum 17. Juli 2028 und danach alle zwei Jahre legen die zentralen Anlaufstellen der Kommission und der gemäß Artikel 19 genannten Gruppe für die Resilienz kritischer Einrichtungen einen zusammenfassenden Bericht über die bei ihnen eingegangenen Meldungen, einschließlich der Zahl der Meldungen, der Art der gemeldeten Sicherheitsvorfälle und der gemäß Artikel 15 Absatz 3 ergriffenen Maßnahmen, vor.

Die Kommission arbeitet in Zusammenarbeit mit der Gruppe für die Resilienz kritischer Einrichtungen ein gemeinsames Berichtsmuster aus. Die zuständigen Behörden können auf freiwilliger Basis dieses gemeinsame Berichtsmuster für die Vorlage der zusammenfassenden Berichte gemäß Unterabsatz 1 verwenden.

(4)   Jeder Mitgliedstaat stellt sicher, dass seine zuständige Behörde und zentrale Anlaufstelle über die erforderlichen Befugnisse und angemessene finanzielle, personelle und technische Ressourcen verfügen, um die ihnen übertragenen Aufgaben wirksam und effizient zu erfüllen.

(5)   Jeder Mitgliedstaat stellt sicher, dass seine zuständige Behörde im Einklang mit dem Unionsrecht und dem nationalen Recht gegebenenfalls andere entsprechende nationale Behörden, unter anderem diejenigen, die für den Katastrophenschutz, die Strafverfolgung und den Schutz personenbezogener Daten zuständig ist, sowie kritische Einrichtungen und entsprechende interessierte Parteien konsultiert und mit ihnen zusammenarbeitet.

(6)   Jeder Mitgliedstaat stellt sicher, dass seine nach dieser Richtlinie zuständige Behörde mit den nach Richtlinie (EU) 2022/2555 zuständigen Behörden in Bezug auf Cybersicherheitsrisiken, Cyberbedrohungen und Cybersicherheitsvorfälle und in Bezug auf nicht cyberbezogene Risiken, Bedrohungen und Sicherheitsvorfälle, die kritische Einrichtungen betreffen, sowie in Bezug auf entsprechende Maßnahmen, die von seiner zuständigen Behörde und den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 ergriffen wurden, zusammenarbeitet und Informationen austauscht.

(7)   Innerhalb von drei Monaten nach der Benennung oder Errichtung der zuständigen Behörde und der zentralen Anlaufstelle, setzt jeder Mitgliedstaat die Kommission über deren Identität sowie deren Aufgaben und Zuständigkeiten gemäß dieser Richtlinie, deren Kontaktdaten und etwaiger späterer Änderungen dieser Angaben in Kenntnis. Mitgliedstaaten informieren die Kommission, wenn sie die Benennung einer anderen als der in Absatz 1 Unterabsatz 2 genannten Behörde als zuständige Behörde in Bezug auf kritischen Einrichtungen in den Sektoren, die unter den Nummern 3, 4 und 8 in der Tabelle im Anhang dieser Richtlinie festgelegt sind, beschließen. Jeder Mitgliedstaat gibt die Identität der zuständigen Behörde und der zentralen Anlaufstelle öffentlich bekannt.

(8)   Die Kommission erstellt eine öffentlich verfügbare Liste der zentralen Anlaufstellen.

Artikel 10

Unterstützung kritischer Einrichtungen durch die Mitgliedstaaten

(1)   Die Mitgliedstaaten unterstützen kritische Einrichtungen bei der Verbesserung ihrer Resilienz. Diese Unterstützung kann die Entwicklung von Leitfäden und Methoden, die Unterstützung der Organisation von Übungen zur Überprüfung ihrer Resilienz und die Bereitstellung von Beratung und Schulungen für Personal kritischer Einrichtungen umfassen. Die Mitgliedstaaten können kritischen Einrichtungen unbeschadet der geltenden Vorschriften für staatliche Beihilfen Finanzmittel zur Verfügung stellen, wenn dies erforderlich und durch im öffentlichen Interesse liegende Ziele gerechtfertigt ist.

(2)   Jeder Mitgliedstaat stellt sicher, dass die zuständigen Behörden mit den kritischen Einrichtungen der im Anhang festgelegten Sektoren zusammenarbeiten sowie Informationen und bewährte Verfahren austauschen.

(3)   Die Mitgliedstaaten erleichtern den freiwilligen Informationsaustausch zwischen kritischen Einrichtungen in unter diese Richtlinie fallenden Fragen im Einklang mit dem Unionsrecht und dem nationalen Recht, insbesondere in Fragen bezüglich Verschlusssachen und sensibler Informationen, des Wettbewerbs und des Schutzes personenbezogener Daten.

Artikel 11

Zusammenarbeit zwischen Mitgliedstaaten

(1)   Die Mitgliedstaaten konsultieren einander gegebenenfalls in Bezug auf kritische Einrichtungen zur Sicherstellung der einheitlichen Anwendung dieser Richtlinie. Diese Konsultationen finden insbesondere in Bezug auf kritische Einrichtungen statt,

a)

die kritische Infrastrukturen nutzen, die physisch zwischen zwei oder mehr Mitgliedstaaten verbunden sind,

b)

die Teil von Unternehmensstrukturen sind, die mit kritischen Einrichtungen in anderen Mitgliedstaaten verbunden sind oder zu ihnen in Bezug stehen,

c)

die als kritische Einrichtungen in einem Mitgliedstaat eingestuft wurden und wesentliche Dienste für andere bzw. in anderen Mitgliedstaaten erbringen.

(2)   Ziel der Konsultationen nach Absatz 1 ist es, die Resilienz kritischer Einrichtungen zu verbessern und, soweit möglich, den Verwaltungsaufwand für diese zu verringern.

KAPITEL III

RESILIENZ KRITISCHER EINRICHTUNGEN

Artikel 12

Risikobewertungen durch kritische Einrichtungen

(1)   Ungeachtet der in Artikel 6 Absatz 3 Unterabsatz 2 festgelegten Frist, stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen innerhalb von neun Monaten nach Erhalt der in Artikel 6 Absatz 3 genannten Mitteilung und anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikobewertung auf der Grundlage der Risikobewertungen durch Mitgliedstaaten und anderer entsprechender Informationsquellen durchführen, um alle entsprechenden Risiken zu bewerten, die die Erbringung ihrer wesentlichen Dienste (im Folgenden „Risikobewertung durch kritische Einrichtungen“) stören könnten.

(2)   Die Risikobewertung durch kritische Einrichtungen trägt allen entsprechenden natürlichen und vom Menschen verursachten Risiken Rechnung, die zu einem Sicherheitsvorfall führen könnten, einschließlich grenzüberschreitender oder sektorübergreifender Risiken, Unfällen, Naturkatastrophen, gesundheitlicher Notlagen und hybriden Bedrohungen und anderen feindlichen Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541. Eine Risikobewertung durch kritische Einrichtungen trägt dem Ausmaß der Abhängigkeit anderer im Anhang festgelegten Sektoren von dem wesentlichen Dienst, der von der kritischen Einrichtung — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, und dem Ausmaß der Abhängigkeit der kritischen Einrichtung von den wesentlichen Diensten, der von anderen Einrichtungen in anderen Sektoren — gegebenenfalls auch in benachbarten Mitgliedstaaten und Drittländern — erbracht wird, Rechnung.

Hat eine kritische Einrichtung aufgrund von Verpflichtungen aus anderen Rechtsakten, die für ihre Risikobewertung durch kritische Einrichtungen relevant sind, andere Risikobewertungen vorgenommen oder Dokumente erstellt, so kann sie diese Bewertungen und Dokumente verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde eine bestehende Risikobewertung, die von einer kritischen Einrichtung durchgeführt wurde, die sich mit den in Unterabsatz 1 genannten Risiken und dem Ausmaß der Abhängigkeit befasst, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.

Artikel 13

Resilienzmaßnahmen kritischer Einrichtungen

(1)   Die Mitgliedstaaten stellen sicher, dass die kritischen Einrichtungen auf der Grundlage der von den Mitgliedstaaten bereitgestellten entsprechenden Informationen über die Risikobewertung durch Mitgliedstaaten sowie den Ergebnissen der Risikobewertung durch kritische Einrichtungen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz ergreifen, unter anderem Maßnahmen, die erforderlich sind, um

a)

das Auftreten von Sicherheitsvorfällen zu verhindern, unter gebührender Berücksichtigung von Katastrophenvorsorge und Maßnahmen zur Anpassung an den Klimawandel;

b)

einen angemessenen physischen Schutz ihrer Räumlichkeiten und kritischen Infrastrukturen zu gewährleisten, unter gebührender Berücksichtigung zum Beispiel von dem Aufstellen von Zäunen und Sperren, Instrumenten und Verfahren für die Überwachung der Umgebung, Detektionsgeräten und Zugangskontrollen;

c)

auf Sicherheitsvorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen, unter gebührender Berücksichtigung der Umsetzung von Risiko- und Krisenmanagementverfahren und -protokollen und vorgegebener Abläufe im Alarmfall;

d)

nach Sicherheitsvorfällen die Wiederherstellung zu gewährleisten, unter gebührender Berücksichtigung von Maßnahmen zur Aufrechterhaltung des Betriebs und der Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen;

e)

ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, unter gebührender Berücksichtigung von Maßnahmen wie der Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt, der Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen und der Einführung von Verfahren für Zuverlässigkeitsüberprüfungen im Einklang mit Artikel 14 und der Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen, und der Festlegung angemessener Schulungsanforderungen und Qualifikationen.

f)

das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen unter gebührender Berücksichtigung von Schulungen, Informationsmaterial und Übungen zu sensibilisieren.

Für die Zwecke von Unterabsatz 1 Buchstabe e stellen die Mitgliedstaaten sicher, dass kritische Einrichtungen das Personal externer Dienstleister bei der Festlegung der Kategorien von Personal, das kritische Funktionen wahrnimmt, berücksichtigt;

(2)   Die Mitgliedstaaten stellen sicher, dass kritische Einrichtungen über einen Resilienzplan oder ein gleichwertiges Dokument oder Dokumente, in denen die Maßnahmen gemäß Absatz 1 beschrieben werden, verfügen und diese anwenden. Haben kritische Einrichtungen Dokumente erstellt oder Maßnahmen aufgrund von Verpflichtungen aus anderen Rechtsakten, die für die in Absatz 1 genannten Maßnahmen relevant sind, ergriffen, so können sie diese Dokumente und Maßnahmen verwenden, um die in diesem Artikel festgelegten Anforderungen zu erfüllen. Bei der Wahrnehmung ihrer Aufsichtsaufgaben kann die zuständige Behörde bestehende Maßnahmen zur Verbesserung der Resilienz einer kritischen Einrichtung, die die in Absatz 1 genannten technischen, sicherheitsbezogenen und organisatorischen Maßnahmen betreffen, als vollständig oder teilweise den Verpflichtungen nach diesem Artikel entsprechend erklären.

(3)   Die Mitgliedstaaten stellen sicher, dass jede kritische Einrichtung einen Verbindungsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung als Ansprechpartner für die zuständigen Behörden benennt.

(4)   Auf Ersuchen des Mitgliedstaats, der die kritische Einrichtung ermittelt hat, und mit Zustimmung der betreffenden kritischen Einrichtung organisiert die Kommission im Einklang mit den Regelungen gemäß Artikel 18 Absätze 6, 8 und 9 Beratungsmissionen, um die betreffende kritische Einrichtung im Hinblick auf die Erfüllung ihrer Verpflichtungen nach Kapitel III zu beraten. Die Beratungsmission erstattet der Kommission, dem betreffenden Mitgliedstaat und der betreffenden kritischen Einrichtung Bericht über ihre Ergebnisse.

(5)   Die Kommission erlässt nach Konsultation der Gruppe für die Resilienz kritischer Einrichtungen gemäß Artikel 19 unverbindliche Leitlinien, in denen die technischen, sicherheitsbezogenen und organisatorischen Maßnahmen, die gemäß Absatz 1 des vorliegenden Artikels ergriffen werden können, näher spezifiziert werden.

(6)   Die Kommission erlässt Durchführungsrechtsakte, um die erforderlichen technischen und methodischen Spezifikationen für die Anwendung der in Absatz 1 des vorliegenden Artikels genannten Maßnahmen festzulegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 24 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 14

Zuverlässigkeitsüberprüfungen

(1)   Die Mitgliedstaaten legen die Bedingungen fest, unter denen eine kritische Einrichtung in hinreichend begründeten Fällen und unter Berücksichtigung der Risikobewertung durch Mitgliedstaaten Anträge auf Zuverlässigkeitsüberprüfungen von Personen stellen darf, die

a)

sensible Funktionen in oder zugunsten der kritischen Einrichtung innehaben, insbesondere in Bezug auf die Resilienz der kritischen Einrichtung;

b)

berechtigt sind, über einen direkten Zugriff oder Fernzugriff auf ihre Räumlichkeiten, Informationen oder Kontrollsysteme zu verfügen, auch im Zusammenhang mit der Sicherheit der kritischen Einrichtung;

c)

für die Besetzung von Positionen, die unter die in den Buchstaben a und b festgelegten Kriterien fallen, in Betracht gezogen werden.

(2)   Anträge gemäß Absatz 1 des vorliegenden Artikels werden innerhalb eines angemessenen Zeitrahmens geprüft und im Einklang mit dem nationalen Recht und Verfahren sowie dem entsprechenden und geltenden Unionsrecht — einschließlich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (37) — bearbeitet. Zuverlässigkeitsüberprüfungen müssen verhältnismäßig und strikt auf das Notwendige beschränkt sein. Sie werden ausschließlich zum Zweck der Bewertung eines potenziellen Sicherheitsrisikos für die betreffende kritische Einrichtung durchgeführt.

(3)   Eine in Absatz 1 genannte Zuverlässigkeitsüberprüfung muss mindestens

a)

sich der Identität der Person, die einer Zuverlässigkeitsüberprüfung unterzogen wird, vergewissern;

b)

eine Strafregisterprüfung der Person in Bezug auf Straftaten, die für eine spezifische Position relevant sind, enthalten.

Bei Zuverlässigkeitsüberprüfungen nutzen die Mitgliedstaaten das Europäische Strafregisterinformationssystem gemäß den im Rahmenbeschluss 2009/315/JI und — sofern relevant und anwendbar — in der Verordnung (EU) 2019/816 festgelegten Verfahren zur Einholung von Informationen aus den Strafregistern von anderen Mitgliedstaaten. Die in Artikel 3 Absatz 1 des Rahmenbeschlusses 2009/315/JI und Artikel 3 Nummer 5 der Verordnung (EU) 2019/816 genannten Zentralbehörden beantworten Ersuchen um solche Informationen im Einklang mit Artikel 8 Absatz 1 des Rahmenbeschlusses 2009/315/JI innerhalb von zehn Arbeitstagen nach Eingang des Ersuchens gemäß Artikel 8 Absatz 1 des Rahmenbeschlusses 2009/315/JI.

Artikel 15

Meldung von Sicherheitsvorfällen

(1)   Die Mitgliedstaaten stellen sicher, dass die kritischen Einrichtungen der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder erheblich stören könnten, unverzüglich melden. Die Mitgliedstaaten stellen sicher, dass außer wenn dies in operativer Hinsicht nicht möglich ist, kritische Einrichtungen eine erste Meldung bis spätestens 24 Stunden, nachdem sie sich eines Sicherheitsvorfalls bewusst geworden sind, übermitteln, gegebenenfalls gefolgt von einem ausführlichen Bericht spätestens einen Monat danach. Zur Bestimmung der Erheblichkeit einer Störung werden insbesondere folgende Parameter berücksichtigt:

a)

Anzahl und Anteil der von der Störung betroffenen Nutzer;

b)

Dauer der Störung;

c)

betroffenes geografisches Gebiet der Störung, unter Berücksichtigung des Umstandes, ob das Gebiet geografisch isoliert ist.

Hat ein Sicherheitsvorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste für oder in sechs oder mehr Mitgliedstaaten oder könnte er solche Auswirkungen haben, so melden die zuständigen Behörden der vom Sicherheitsvorfall betroffenen Mitgliedstaaten diesen Sicherheitsvorfall der Kommission.

(2)   Die Meldungen gemäß Absatz 1 Unterabsatz 1 müssen sämtliche verfügbaren Informationen enthalten, die erforderlich sind, damit die zuständige Behörde Art, Ursache und mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann, einschließlich verfügbarer Informationen, die notwendig sind, um zu bestimmen, ob der Sicherheitsvorfall grenzüberschreitende Auswirkungen hat. Solche Meldungen begründen keine höhere Haftung der betreffenden kritischen Einrichtung.

(3)   Auf der Grundlage der in einer Meldung gemäß Absatz 1 bereitgestellten Informationen der kritischen Einrichtung unterrichtet die entsprechende zuständige Behörde über die zentrale Anlaufstelle die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten, sofern der Sicherheitsvorfall erhebliche Auswirkungen auf kritische Einrichtungen und die Aufrechterhaltung der Erbringung wesentlicher Dienste an einen oder mehrere andere Mitgliedstaaten oder in einem oder mehreren anderen Mitgliedstaaten hat oder haben könnte.

Zentrale Anlaufstellen, die Informationen gemäß Unterabsatz 1 senden und erhalten, behandeln im Einklang mit dem Unionsrecht oder mit dem nationalen Recht die Informationen so, dass ihre Vertraulichkeit gewahrt und die Sicherheit und die geschäftlichen Interessen der betreffenden kritischen Einrichtung geschützt werden.

(4)   So bald wie möglich nach einer Meldung gemäß Absatz 1 übermittelt die betreffende zuständige Behörde der betreffenden kritischen Einrichtung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieser kritischen Einrichtung auf den betreffenden Sicherheitsvorfall unterstützen könnten. Die Mitgliedstaaten informieren die Öffentlichkeit, wenn sie zu der Ansicht gelangen, dass dies im öffentlichen Interesse liegen würde.

Artikel 16

Normen

Um die abgestimmte Umsetzung dieser Richtlinie voranzutreiben, fördern die Mitgliedstaaten die Anwendung von europäischen und internationalen Normen und technischen Spezifikationen, die für die Maßnahmen zur Sicherheit und Resilienz kritischer Einrichtungen relevant sind, sofern dies sinnvoll ist und ohne die Verwendung einer bestimmten Technologieart vorzuschreiben oder diese zu bevorzugen.

KAPITEL IV

KRITISCHE EINRICHTUNGEN, DIE VON BESONDERER BEDEUTUNG FÜR EUROPA SIND

Artikel 17

Ermittlung kritischer Einrichtungen, die von besonderer Bedeutung für Europa sind

(1)   Eine Einrichtung gilt als kritische Einrichtung von besonderer Bedeutung für Europa, wenn sie

a)

gemäß Artikel 6 Absatz 1 als kritische Einrichtung eingestuft wurde,

b)

für bzw. in sechs oder mehr Mitgliedstaaten dieselben oder ähnliche wesentliche Dienste erbringt und

c)

gemäß Absatz 3 dieses Artikels gemeldet wurde.

(2)   Die Mitgliedstaaten stellen sicher, dass eine kritische Einrichtung nach der Mitteilung gemäß Artikel 6 Absatz 3 ihre zuständige Behörde informiert, wenn sie wesentliche Dienste für bzw. in sechs oder mehr Mitgliedstaaten erbringt. Wenn dies der Fall ist, stellen die Mitgliedstaaten sicher, dass die kritische Einrichtung ihre zuständige Behörde darüber informiert welche wesentlichen Dienste sie für bzw. in diesen Mitgliedstaaten anbietet und für welche bzw. in welchen Mitgliedstaaten sie diese anbietet. Die Mitgliedstaaten teilen der Kommission unverzüglich die Identität solcher kritischen Einrichtungen sowie die Informationen, die diese gemäß dieses Absatzes zur Verfügung stellen, mit.

Die Kommission konsultiert die zuständige Behörde des Mitgliedstaats, der eine kritische Einrichtung gemäß Unterabsatz 1 ermittelt hat, die zuständige Behörde anderer betroffener Mitgliedstaaten sowie die betreffende kritische Einrichtung. Bei diesen Konsultationen teilt jeder Mitgliedstaat der Kommission mit, ob es sich seiner Einschätzung nach bei den Diensten, die diesem Mitgliedstaat von der kritischen Einrichtung erbracht werden, um wesentliche Dienste handelt.

(3)   Stellt die Kommission auf der Grundlage der Konsultationen nach Absatz 2 fest, dass die betreffende kritische Einrichtung für bzw. in sechs oder mehr Mitgliedstaaten wesentliche Dienste erbringt, so teilt die Kommission dieser kritischen Einrichtung über deren zuständige Behörde mit, dass sie als kritische Einrichtung von besonderer Bedeutung für Europa gilt, und unterrichtet diese kritische Einrichtung über ihre Verpflichtungen gemäß diesem Kapitel sowie über den Zeitpunkt, ab dem diese Verpflichtungen für sie gelten. Sobald die Kommission die zuständige Behörde über ihre Entscheidung informiert, eine Einrichtung als kritische Einrichtung von besonderer Bedeutung für Europa zu betrachten, leitet die zuständige Behörde diese Meldung unverzüglich an diese kritische Einrichtung weiter.

(4)   Dieses Kapitel gilt für die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ab dem Tag des Eingangs der in Absatz 3 genannten Mitteilung.

Artikel 18

Beratungsmissionen

(1)   Auf Antrag eines Mitgliedstaats, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, organisiert die Kommission eine Beratungsmission zur Bewertung der Maßnahmen, die jene kritische Einrichtung ergriffen hat, um ihren Verpflichtungen gemäß Kapitel III nachzukommen.

(2)   Aus eigenem Entschluss oder auf Antrag eines oder mehrerer Mitgliedstaaten, für den/die bzw. in dem/denen der wesentliche Dienst erbracht wird, und vorausgesetzt, der Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, stimmt dem zu, organisiert die Kommission eine Beratungsmission nach Absatz 1 des vorliegenden Artikels.

(3)   Auf einen begründeten Antrag der Kommission oder eines oder mehrerer Mitgliedstaaten, für den/die bzw. in dem/denen der wesentliche Dienst erbracht wird, stellt der Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, der Kommission Folgendes zur Verfügung:

a)

die entsprechenden Teile der Risikobewertung durch kritische Einrichtungen,

b)

eine Auflistung der gemäß Artikel 13 ergriffenen entsprechenden Maßnahmen,

c)

Aufsichts- oder Durchsetzungsmaßnahmen, die seine zuständige Behörde gemäß den Artikeln 21 und 22 in Bezug auf diese kritische Einrichtung ergriffen hat, einschließlich der Bewertungen der Einhaltung der Vorschriften oder der erteilten Anordnungen.

(4)   Die Beratungsmission erstattet der Kommission, dem Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, den Mitgliedstaaten, für die bzw. in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung innerhalb von drei Monaten nach Abschluss der Beratungsmission über ihre Ergebnisse Bericht.

Die Mitgliedstaaten, für die bzw. in denen der wesentliche Dienst erbracht wird, analysieren den in Unterabsatz 1 genannten Bericht und beraten die Kommission erforderlichenfalls in Bezug auf die Frage, ob die betreffende kritische Einrichtung von besonderer Bedeutung für Europa ihre Verpflichtungen nach Kapitel III erfüllt, und gegebenenfalls hinsichtlich der Maßnahmen, die ergriffen werden könnten, um die Resilienz dieser kritischen Einrichtung zu verbessern.

Auf der Grundlage der Ratschläge gemäß Unterabsatz 2 dieses Absatzes teilt die Kommission dem Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, den Mitgliedstaaten, für die bzw. in denen der wesentliche Dienst erbracht wird, und der betreffenden kritischen Einrichtung ihre Stellungnahme zu der Frage, ob diese kritische Einrichtung ihre Verpflichtungen nach Kapitel III erfüllt, und gegebenenfalls hinsichtlich der Maßnahmen, die ergriffen werden könnten, um die Resilienz dieser kritischen Einrichtung zu verbessern, mit.

Der Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, stellt sicher, dass seine zuständige Behörde und die betreffende kritische Einrichtung der Stellungnahme gemäß Unterabsatz 3 dieses Absatzes gebührend Rechnung tragen, und unterrichtet die Kommission und die Mitgliedstaaten, für die bzw. in denen der wesentliche Dienst erbracht wird, über die Maßnahmen, die er aufgrund dieser Stellungnahme ergriffen hat.

(5)   Jede Beratungsmission setzt sich aus Sachverständigen des Mitgliedstaats, in dem sich die kritische Einrichtung von besonderer Bedeutung für Europa befindet, aus Sachverständigen der Mitgliedstaaten, für die bzw. in denen der wesentliche Dienst erbracht wird, und Vertretern der Kommission zusammen. Diese Mitgliedstaaten können Kandidaten vorschlagen, die an einer Beratungsmission teilnehmen sollen. Die Kommission wählt nach Absprache mit dem Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat, die Mitglieder jeder Beratungsmission nach Maßgabe ihrer fachlichen Eignung und, soweit möglich, unter Gewährleistung einer geografisch ausgewogenen Vertretung aus allen diesen Mitgliedstaaten aus und ernennt sie. Erforderlichenfalls müssen die Mitglieder der Beratungsmission über eine gültige und angemessene Sicherheitsüberprüfung verfügen. Die Kommission trägt die Kosten im Zusammenhang mit der Teilnahme an Beratungsmissionen.

Die Kommission organisiert das Programm jeder Beratungsmission in Absprache mit den Mitgliedern der betreffenden Beratungsmission und im Einvernehmen mit dem Mitgliedstaat, der eine kritische Einrichtung von besonderer Bedeutung für Europa als kritische Einrichtung gemäß Artikel 6 Absatz 1 ermittelt hat.

(6)   Die Kommission erlässt einen Durchführungsrechtsakt zur Festlegung von Vorschriften über die Verfahrensmodalitäten für Anträge zur Organisation der Beratungsmissionen, für die Bearbeitung solcher Anträge, für die Durchführung und die Berichterstattung von Beratungsmissionen sowie für die Handhabung der Mitteilung der in Absatz 4 Unterabsatz 3 des vorliegenden Artikels genannten Stellungnahme der Kommission und der ergriffenen Maßnahmen, wobei sie der Vertraulichkeit und der wirtschaftlichen Sensibilität der betreffenden Informationen gebührend Rechnung trägt. Dieser Durchführungsrechtsakt wird gemäß dem in Artikel 24 Absatz 2 genannten Prüfverfahren erlassen.

(7)   Die Mitgliedstaaten stellen sicher, dass die kritischen Einrichtungen von besonderer Bedeutung für Europa den Beratungsmissionen Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer wesentlichen Dienste gewähren, die zur Durchführung der betreffenden Beratungsmission erforderlich sind.

(8)   Beratungsmissionen werden im Einklang mit dem geltenden nationalen Recht des Mitgliedstaats, in dem sie stattfinden, durchgeführt, wobei die Verantwortung dieses Mitgliedstaats für die nationale Sicherheit und den Schutz seiner Sicherheitsinteressen zu achten ist.

(9)   Bei der Organisation der Beratungsmissionen berücksichtigt die Kommission gegebenenfalls die Berichte über alle etwaigen Inspektionen gemäß den Verordnungen (EG) Nr. 725/2004 und (EG) Nr. 300/2008 sowie über jegliche Überwachung gemäß der Richtlinie 2005/65/EG, die die Kommission in Bezug auf die betreffende kritische Einrichtung durchgeführt hat.

(10)   Die Kommission unterrichtet die gemäß Artikel 19 genannte Gruppe für die Resilienz kritischer Einrichtungen, wenn eine Beratungsmission organisiert wird. Der Mitgliedstaat, in dem die Beratungsmission durchgeführt wurde, und die Kommission unterrichten im Hinblick auf die Förderung gegenseitiger Lernprozesse die Gruppe für die Resilienz kritischer Einrichtungen auch über die wichtigsten Ergebnisse der Beratungsmission und die gewonnenen Erkenntnisse.

KAPITEL V

ZUSAMMENARBEIT UND BERICHTERSTATTUNG

Artikel 19

Gruppe für die Resilienz kritischer Einrichtungen

(1)   Eine Gruppe für die Resilienz kritischer Einrichtungen wird hiermit eingesetzt. Die Gruppe für die Resilienz kritischer Einrichtungen unterstützt die Kommission und erleichtert die Zusammenarbeit zwischen den Mitgliedstaaten und den Informationsaustausch zu Fragen im Zusammenhang mit dieser Richtlinie.

(2)   Die Gruppe für die Resilienz kritischer Einrichtungen setzt sich aus Vertretern der Mitgliedstaaten und der Kommission zusammen, die — soweit erforderlich — über eine Sicherheitsermächtigung verfügen. Wenn es für die Erfüllung ihrer Aufgaben relevant ist, kann die Gruppe für die Resilienz kritischer Einrichtungen entsprechende Interessenvertreter zur Teilnahme an ihrer Arbeit einladen. Wenn das Europäische Parlament darum ersucht, kann die Kommission Sachverständige des Europäischen Parlaments zur Teilnahme an den Sitzungen der Gruppe für die Resilienz kritischer Einrichtungen einladen.

Der Vertreter der Kommission führt den Vorsitz der Gruppe für die Resilienz kritischer Einrichtungen.

(3)   Die Gruppe für die Resilienz kritischer Einrichtungen hat folgende Aufgaben:

a)

Unterstützung der Kommission bei der Unterstützung der Mitgliedstaaten beim Ausbau ihrer Kapazitäten im Hinblick auf die Gewährleistung der Resilienz kritischer Einrichtungen im Einklang mit dieser Richtlinie;

b)

Analyse der Strategien zur Ermittlung bewährter Verfahren bezüglich dieser Strategien;

c)

Erleichterung des Austauschs bewährter Verfahren in Bezug auf die Ermittlung kritischer Einrichtungen durch die Mitgliedstaaten gemäß Artikel 6 Absatz 1, auch im Zusammenhang mit grenzüberschreitenden und sektorübergreifenden Abhängigkeiten und im Hinblick auf Risiken und Sicherheitsvorfälle;

d)

gegebenenfalls Mitwirkung — in Bezug auf Fragen im Zusammenhang mit dieser Richtlinie — an Dokumenten über die Resilienz auf Unionsebene;

e)

Mitwirkung an der Ausarbeitung der in Artikel 7 Absatz 3 und Artikel 13 Absatz 5 genannten Leitlinien und — auf Ersuchen — aller delegierten Rechtsakte oder Durchführungsrechtsakte, die im Rahmen dieser Richtlinie angenommen wurden;

f)

Analyse der in Artikel 9 Absatz 3 genannten zusammenfassenden Berichte mit dem Ziel, den Austausch bewährter Verfahren für die gemäß Artikel 15 Absatz 3 ergriffenen Maßnahmen zu fördern;

g)

Austausch von bewährten Verfahren im Zusammenhang mit der Meldung von Sicherheitsvorfällen gemäß Artikel 15;

h)

Erörterung der zusammenfassenden Berichte der Beratungsmissionen und der Erkenntnisse gemäß Artikel 18 Absatz 10;

i)

Austausch von Informationen und bewährten Verfahren hinsichtlich Innovation, Forschung und Entwicklung im Zusammenhang mit der Resilienz kritischer Einrichtungen gemäß dieser Richtlinie;

j)

gegebenenfalls Informationsaustausch zu Fragen, die die Resilienz kritischer Einrichtungen betreffen, mit den entsprechenden Organen, Einrichtungen und sonstigen Stellen der Union.

(4)   Bis zum 17. Januar 2025 und danach alle zwei Jahre erstellt die Gruppe für die Resilienz kritischer Einrichtungen ein Arbeitsprogramm mit den Maßnahmen, die zur Umsetzung ihrer Ziele und Aufgaben zu ergreifen sind. Dieses Arbeitsprogramm steht im Einklang mit den Anforderungen und Zielen dieser Richtlinie.

(5)   Die Gruppe für die Resilienz kritischer Einrichtungen tagt regelmäßig und in jedem Fall mindestens einmal jährlich gemeinsam mit der durch die Richtlinie (EU) 2022/2555 eingerichteten Kooperationsgruppe, um die Zusammenarbeit und den Informationsaustausch zu fördern und zu erleichtern.

(6)   Die Kommission kann unter Beachtung von Artikel 1 Absatz 4 Durchführungsrechtsakte zur Festlegung der Verfahrensmodalitäten, die für das Funktionieren der Gruppe für die Resilienz kritischer Einrichtungen erforderlich sind, erlassen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 24 Absatz 2 genannten Prüfverfahren erlassen.

(7)   Die Kommission übermittelt der Gruppe für die Resilienz kritischer Einrichtungen bis zum 17. Januar 2027 und anschließend im Bedarfsfall, mindestens jedoch alle vier Jahre, einen zusammenfassenden Bericht über die von den Mitgliedstaaten gemäß Artikel 4 Absatz 3 und Artikel 5 Absatz 4 übermittelten Informationen.

Artikel 20

Unterstützung der zuständigen Behörden und kritischen Einrichtungen durch die Kommission

(1)   Die Kommission unterstützt die Mitgliedstaaten und die kritischen Einrichtungen gegebenenfalls bei der Erfüllung ihrer Verpflichtungen gemäß dieser Richtlinie. Die Kommission erstellt eine unionsweite Übersicht über grenzüberschreitende und sektorübergreifende Risiken für die Erbringung wesentlicher Dienste, organisiert die in Artikel 13 Absatz 4 und Artikel 18 genannten Beratungsmissionen und erleichtert den Informationsaustausch zwischen Mitgliedstaaten und Sachverständigen in der gesamten Union.

(2)   Die Kommission ergänzt die in Artikel 10 genannten Tätigkeiten der Mitgliedstaaten, indem sie bewährte Verfahren, Leitfäden und Methoden ausarbeitet und grenzüberschreitende Schulungsmaßnahmen und grenzüberschreitende Übungen zur Überprüfung der Resilienz kritischer Einrichtungen entwickelt.

(3)   Die Kommission unterrichtet die Mitgliedstaaten über die finanziellen Ressourcen auf Unionsebene, die den Mitgliedstaaten zur Verbesserung der Resilienz kritischer Einrichtungen zur Verfügung stehen.

KAPITEL VI

AUFSICHT UND DURCHSETZUNG

Artikel 21

Aufsicht und Durchsetzung

(1)   Im Hinblick auf die Beurteilung, ob die Einrichtungen, die die Mitgliedstaaten gemäß Artikel 6 Absatz 1 als kritische Einrichtungen eingestuft haben, die in dieser Richtlinie festgelegten Verpflichtungen erfüllen, stellen die Mitgliedstaaten sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, um

a)

Vor-Ort-Kontrollen der kritischen Infrastruktur und der Räumlichkeiten, die die kritische Einrichtung für die Erbringung ihrer wesentlichen Dienste nutzt, und externe Aufsichtsmaßnahmen bezüglich der von kritischen Einrichtungen ergriffenen Maßnahmen gemäß Artikel 13 durchzuführen;

b)

Audits bei kritischen Einrichtungen durchzuführen oder anzuordnen.

(2)   Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden über die Befugnisse und Mittel verfügen, von den Einrichtungen gemäß der Richtlinie (EU) 2022/2555, die die Mitgliedstaaten gemäß dieser Richtlinie als kritische Einrichtungen eingestuft haben, — wenn dies für die Wahrnehmung ihrer Aufgaben gemäß dieser Richtlinie erforderlich ist — zu verlangen, dass sie innerhalb einer von diesen Behörden festgelegten angemessenen Frist Folgendes übermitteln:

a)

die Informationen, die erforderlich sind, um beurteilen zu können, ob die Maßnahmen, die diese Einrichtungen zur Gewährleistung ihrer Resilienz ergriffen haben, die Anforderungen gemäß Artikel 13 erfüllen;

b)

Nachweise der wirksamen Umsetzung dieser Maßnahmen, einschließlich der Ergebnisse eines Audits, das von einem unabhängigen und qualifizierten von der betreffenden Einrichtung ausgewählten Prüfer auf Kosten der betreffenden Einrichtung durchgeführt wurde.

Bei der Anforderung dieser Informationen nennen die zuständigen Behörden den Zweck und geben an, welche Informationen verlangt werden.

(3)   Unbeschadet der Möglichkeit, Sanktionen gemäß Artikel 22 zu verhängen, können die zuständigen Behörden im Anschluss an die in Absatz 1 des vorliegenden Artikels genannten Aufsichtsmaßnahmen oder die Prüfung der in Absatz 2 des vorliegenden Artikels genannten Informationen die betreffenden kritischen Einrichtungen anweisen, erforderliche und verhältnismäßige Maßnahmen zu ergreifen, um festgestellte Verstöße gegen diese Richtlinie innerhalb einer von diesen Behörden gesetzten angemessenen Frist zu beheben, und diesen Behörden Informationen über die ergriffenen Maßnahmen zu übermitteln. Diese Anweisungen tragen insbesondere der Schwere des Verstoßes Rechnung.

(4)   Die Mitgliedstaaten stellen sicher, dass die in den Absätzen 1, 2 und 3 vorgesehenen Befugnisse nur vorbehaltlich angemessener Garantien ausgeübt werden können. Diese Garantien gewährleisten insbesondere, dass die Befugnisse auf objektive, transparente und verhältnismäßige Weise ausgeübt werden und dass die Rechte und berechtigten Interessen der betreffenden kritischen Einrichtungen — wie der Schutz von Handels- und Geschäftsgeheimnissen — ordnungsgemäß gewahrt werden, einschließlich ihres Rechts auf Anhörung, Verteidigung und eines wirksamen Rechtsbehelfs vor einem unabhängigen Gericht.

(5)   Die Mitgliedstaaten stellen sicher, dass eine nach dieser Richtlinie zuständige Behörde, wenn sie die Erfüllung der Verpflichtungen einer kritischen Einrichtung gemäß diesem Artikel bewertet, dies den gemäß der Richtlinie (EU) 2022/2555 zuständigen Behörden der betreffenden Mitgliedstaaten mitteilt. Zu diesem Zweck stellen die Mitgliedstaaten sicher, dass nach dieser Richtlinie zuständige Behörden die zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 ersuchen können, ihre Aufsichts- und Durchsetzungsbefugnisse in Bezug auf eine in den Anwendungsbereich dieser Richtlinie fallende Einrichtung auszuüben, die gemäß der vorliegenden Richtlinie als kritische Einrichtung eingestuft wurde. Zu diesem Zweck stellen die Mitgliedstaaten sicher, dass die nach dieser Richtlinie zuständigen Behörden mit den zuständigen Behörden gemäß der Richtlinie (EU) 2022/2555 zusammenarbeiten und Informationen austauschen.

Artikel 22

Sanktionen

Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen die gemäß dieser Richtlinie erlassenen nationalen Vorschriften zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zum 17. Oktober 2024 mit und melden ihr umgehend etwaige spätere diesbezügliche Änderungen.

KAPITEL VII

DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE

Artikel 23

Ausübung der Befugnisübertragung

(1)   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)   Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 5 Absatz 1 wird der Kommission für einen Zeitraum von fünf Jahren ab dem 16. Januar 2023 übertragen.

(3)   Die Befugnisübertragung gemäß Artikel 5 Absatz 1 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

(4)   Vor dem Erlass eines delegierten Rechtsakts konsultiert die Kommission die von den einzelnen Mitgliedstaaten benannten Sachverständigen im Einklang mit den in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung enthaltenen Grundsätzen.

(5)   Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(6)   Ein delegierter Rechtsakt, der gemäß Artikel 5 Absatz 1 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 24

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

KAPITEL VIII

SCHLUSSBESTIMMUNGEN

Artikel 25

Berichterstattung und Überprüfung

Die Kommission übermittelt dem Europäischen Parlament und dem Rat bis zum 17. Juli 2027 einen Bericht, in dem sie bewertet, inwieweit jeder Mitgliedstaat die erforderlichen Maßnahmen getroffen hat, um dieser Richtlinie nachzukommen.

Die Kommission überprüft regelmäßig die Anwendung dieser Richtlinie und erstattet dem Europäischen Parlament und dem Rat Bericht. In diesem Bericht werden insbesondere der Mehrwert dieser Richtlinie, ihre Auswirkungen auf die Gewährleistung der Resilienz kritischer Einrichtungen beurteilt und geprüft, und ob der Anhang dieser Richtlinie geändert werden sollte. Die Kommission legt den ersten dieser Berichte bis zum 17. Juni 2029 vor Für die Zwecke der Berichterstattung gemäß dieses Artikels berücksichtigt die Kommission entsprechende Dokumente der Gruppe für die Resilienz kritischer Einrichtungen.

Artikel 26

Umsetzung

(1)   Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.

Sie wenden diese Vorschriften ab dem 18. Oktober 2024 an.

(2)   Bei Erlass der Vorschriften nach Absatz 1 nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.

Artikel 27

Aufhebung der Richtlinie 2008/114/EG

Die Richtlinie 2008/114/EG wird mit Wirkung vom 18. Oktober 2024 aufgehoben.

Bezugnahmen auf die aufgehobene Richtlinie gelten als Bezugnahmen auf die vorliegende Richtlinie.

Artikel 28

Inkrafttreten

Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 29

Adressaten

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Geschehen zu Straßburg am 14. Dezember 2022.

Im Namen des Europäischen Parlaments

Die Präsidentin

R. METSOLA

Im Namen des Rates

Der Präsident

M. BEK


(1)  ABl. C 286 vom 16.7.2021, S. 170.

(2)  ABl. C 440 vom 29.10.2021, S. 99.

(3)  Standpunkt des Europäischen Parlaments vom 22. November 2022 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 8. Dezember 2022.

(4)  Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (ABl. L 345 vom 23.12.2008, S. 75).

(5)  Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (siehe Seite 80 dieses Amtsblatts).

(6)  Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

(7)  Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates vom 19. März 2019 zur Schaffung eines Rahmens für die Überprüfung ausländischer Direktinvestitionen in der Union (ABl. L 79 I vom 21.3.2019, S. 1).

(8)  Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1).

(9)  Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1).

(10)  Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 173 vom 12.6.2014, S. 84).

(11)  Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (ABl. L 176 vom 27.6.2013, S. 338).

(12)  Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinien 2002/92/EG und 2011/61/EU (ABl. L 173 vom 12.6.2014, S. 349).

(13)  Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (siehe Seite 1 dieses Amtsblatts).

(14)  Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen (ABl. L 129 vom 29.4.2004, S. 6).

(15)  Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) Nr. 2320/2002 (ABl. L 97 vom 9.4.2008, S. 72).

(16)  Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen (ABl. L 310 vom 25.11.2005, S. 28).

(17)  Richtlinie 2008/96/EG des Europäischen Parlaments und des Rates vom 19. November 2008 über ein Sicherheitsmanagement für die Straßenverkehrsinfrastruktur (ABl. L 319 vom 29.11.2008, S. 59).

(18)  Beschluss der Kommission vom 29. Juni 2018 zur Einrichtung der EU-Plattform für die Sicherheit im Schienenpersonenverkehr (ABl. C 232 vom 3.7.2018, S. 10).

(19)  Rahmenbeschluss 2009/315/JI des Rates vom 26. Februar 2009 über die Durchführung und den Inhalt des Austauschs von Informationen aus dem Strafregister zwischen den Mitgliedstaaten (ABl. L 93 vom 7.4.2009, S. 23).

(20)  Verordnung (EU) 2019/816 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, sowie zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726 (ABl. L 135 vom 22.5.2019, S. 1).

(21)  Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7.12.2018, S. 56).

(22)  Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates vom 17. Dezember 2013 über ein Katastrophenschutzverfahren der Union (ABl. L 347 vom 20.12.2013, S. 924).

(23)  Verordnung (EU) 2021/1149 des Europäischen Parlaments und des Rates vom 7. Juli 2021 zur Einrichtung des Fonds für die innere Sicherheit (ABl. L 251 vom 15.7.2021, S. 94).

(24)  Verordnung (EU) 2021/695 des Europäischen Parlaments und des Rates vom 28. April 2021 zur Einrichtung von „Horizont Europa“, dem Rahmenprogramm für Forschung und Innovation, sowie über dessen Regeln für die Beteiligung und die Verbreitung der Ergebnisse und zur Aufhebung der Verordnungen (EU) Nr. 1290/2013 und (EU) Nr. 1291/2013 (ABl. L 170 vom 12.5.2021, S. 1).

(25)  ABl. L 123 vom 12.5.2016, S. 1.

(26)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(27)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(28)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(29)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(30)  Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12).

(31)  Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).

(32)  Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom 31.3.2017, S. 6).

(33)  Verordnung (EU) 2017/1938 des Europäischen Parlaments und des Rates vom 25. Oktober 2017 über Maßnahmen zur Gewährleistung der sicheren Gasversorgung und zur Aufhebung der Verordnung (EU) Nr. 994/2010 (ABl. L 280 vom 28.10.2017, S. 1).

(34)  Verordnung (EU) 2019/941 des Europäischen Parlaments und des Rates vom 5. Juni 2019 über die Risikovorsorge im Elektrizitätssektor und zur Aufhebung der Richtlinie 2005/89/EG (ABl. L 158 vom 14.6.2019, S. 1).

(35)  Richtlinie 2007/60/EG des Europäischen Parlaments und des Rates vom 23. Oktober 2007 über die Bewertung und das Management von Hochwasserrisiken (ABl. L 288 vom 6.11.2007, S. 27).

(36)  Richtlinie 2012/18/EU des Europäischen Parlaments und des Rates vom 4. Juli 2012 zur Beherrschung der Gefahren schwerer Unfälle mit gefährlichen Stoffen, zur Änderung und anschließenden Aufhebung der Richtlinie 96/82/EG des Rates (ABl. L 197 vom 24.7.2012, S. 1).

(37)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).


ANHANG

SEKTOREN, TEILSEKTOREN UND KATEGORIEN VON EINRICHTUNGEN

Sektoren

Teilsektoren

Kategorien von Einrichtungen

1.

Energie

a)

Strom

Elektrizitätsunternehmen im Sinne des Artikels 2 Nummer 57 der Richtlinie (EU) 2019/944 des Europäischen Parlaments und des Rates (1), die die Funktion „Versorgung“ im Sinne des Artikels 2 Nummer 12 jener Richtlinie wahrnehmen

Verteilernetzbetreiber im Sinne des Artikels 2 Nummer 29 der Richtlinie (EU) 2019/944

Übertragungsnetzbetreiber im Sinne des Artikels 2 Nummer 35 der Richtlinie (EU) 2019/944

Erzeuger im Sinne des Artikels 2 Nummer 38 der Richtlinie (EU) 2019/944

Nominierte Strommarktbetreiber im Sinne des Artikels 2 Nummer 8 der Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates (2)

 

 

Marktteilnehmer im Sinne des Artikels 2 Nummer 25 der Verordnung (EU) 2019/943, die Aggregierungs-, Laststeuerungs- oder Energiespeicherungsdienste im Sinne des Artikels 2 Nummern 18, 20 und 59 der Richtlinie (EU) 2019/944 anbieten

b)

Fernwärme und -kälte

Betreiber von Fernwärme- oder -kälte im Sinne des Artikels 2 Nummer 19 der Richtlinie (EU) 2018/2001 des Europäischen Parlaments und des Rates (3)

c)

Erdöl

Betreiber von Erdöl-Fernleitungen

Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie von Erdöllagern und Erdöl-Fernleitungen

Zentrale Bevorratungsstellen im Sinne des Artikels 2 Buchstabe f der Richtlinie 2009/119/EG des Rates (4)

 

d)

Erdgas

Versorgungsunternehmen im Sinne des Artikels 2 Nummer 8 der Richtlinie 2009/73/EG des Europäischen Parlaments und des Rates (5)

Verteilernetzbetreiber im Sinne des Artikels 2 Nummer 6 der Richtlinie 2009/73/EG

Fernleitungsnetzbetreiber im Sinne des Artikels 2 Nummer 4 der Richtlinie 2009/73/EG

Betreiber einer Speicheranlage im Sinne des Artikels 2 Nummer 10 der Richtlinie 2009/73/EG

Betreiber einer LNG-Anlage im Sinne des Artikels 2 Nummer 12 der Richtlinie 2009/73/EG

Erdgasunternehmen im Sinne des Artikels 2 Nummer 1 der Richtlinie 2009/73/EG

Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas

e)

Wasserstoff

Betreiber im Bereich Wasserstofferzeugung, -speicherung und -fernleitung

2.

Verkehr

a)

Luftfahrt

Luftfahrtunternehmen im Sinne des Artikels 3 Nummer 4 der Verordnung (EG) Nr. 300/2008, die für gewerbliche Zwecke genutzt werden

Flughafenleitungsorgane im Sinne des Artikels 2 Nummer 2 der Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates (6), Flughäfen im Sinne des Artikels 2 Nummer 1 jener Richtlinie, einschließlich der in Anhang II Abschnitt 2 der Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates (7) aufgeführten Flughäfen des Kernnetzes, und Einrichtungen, die innerhalb von Flughäfen befindliche zugehörige Einrichtungen betreiben

Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen, die Flugverkehrskontrolldienste im Sinne des Artikels 2 Nummer 1 der Verordnung (EG) Nr. 549/2004 des Europäischen Parlaments und des Rates (8) bereitstellen

 

b)

Schienenverkehr

Infrastrukturbetreiber im Sinne des Artikels 3 Nummer 2 der Richtlinie 2012/34/EU des Europäischen Parlaments und des Rates (9)

Eisenbahnunternehmen im Sinne des Artikels 3 Nummer 1 der Richtlinie 2012/34/EU und Betreiber einer Serviceeinrichtung im Sinne des Artikels 3 Nummer 12 jener Richtlinie

 

c)

Schifffahrt

Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt, wie sie in Anhang I der Verordnung (EG) Nr. 725/2004 für die Schifffahrt definiert sind, ausschließlich der einzelnen von diesen Unternehmen betriebenen Schiffe

 

 

Leitungsorgane von Häfen im Sinne des Artikels 3 Absatz 1 der Richtlinie 2005/65/EG, einschließlich ihrer Hafenanlagen im Sinne des Artikels 2 Nummer 11 der Verordnung (EG) Nr. 725/2004, sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben

Betreiber von Schiffsverkehrsdiensten im Sinne des Artikels 3 Buchstabe o der Richtlinie 2002/59/EG des Europäischen Parlaments und des Rates (10)

 

d)

Straßenverkehr

Straßenverkehrsbehörden im Sinne des Artikels 2 Nummer 12 der Delegierten Verordnung (EU) 2015/962 der Kommission (11), die für Verkehrsmanagement und Verkehrssteuerung verantwortlich sind, ausgenommen öffentliche Einrichtungen, für die das Verkehrsmanagement oder der Betrieb intelligenter Verkehrssysteme ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

Betreiber intelligenter Verkehrssysteme im Sinne des Artikels 4 Nummer 1 der Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates (12)

 

e)

Öffentlicher Verkehr

Betreiber eines öffentlichen Dienstes im Sinne des Artikels 2 Buchstabe d der Verordnung (EG) Nr. 1370/2007 des Europäischen Parlaments und des Rates (13)

3.

Bankwesen

 

Kreditinstitute im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) Nr. 575/2013

4.

Finanzmarktinfrastrukturen

 

Betreiber von Handelsplätzen im Sinne des Artikels 4 Nummer 24 der Richtlinie 2014/65/EU

Zentrale Gegenparteien (CCP) im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 648/2012

5.

Gesundheit

 

Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (14)

EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates (15)

Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG des Europäischen Parlaments und des Rates (16) ausüben

 

 

Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen

Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates (17) („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden

Einrichtungen, die eine Großhandelsgenehmigung im Sinne des Artikels 79 der Richtlinie 2001/83/EG besitzen

6.

Trinkwasser

 

Lieferanten von und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ im Sinne des Artikels 2 Nummer 1 Buchstabe a der Richtlinie (EU) 2020/2184 des Europäischen Parlaments und des Rates (18), unter Ausschluss der Lieferanten, für die die Lieferung von Wasser für den menschlichen Gebrauch ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit der Lieferung anderer Rohstoffe und Güter ist

7.

Abwasser

 

Unternehmen, die kommunales, häusliches oder industrielles Abwasser im Sinne des Artikels 2 Nummern 1 bis 3 der Richtlinie 91/271/EWG des Rates (19) sammeln, entsorgen oder behandeln, unter Ausschluss der Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist

8.

Digitale Infrastruktur

 

Betreiber von Internet-Knoten im Sinne des Artikels 6 Nummer 18 der Richtlinie (EU) 2022/2555

DNS-Diensteanbieter im Sinne des Artikels 6 Nummer 20 der Richtlinie (EU) 2022/2555, ausgenommen Betreiber von Root-Namenservern

TLD-Namenregister im Sinne des Artikels 6 Nummer 21 der Richtlinie (EU) 2022/2555

Anbieter von Cloud-Computing-Diensten im Sinne des Artikels 6 Nummer 30 der Richtlinie (EU) 2022/2555

Anbieter von Rechenzentrumsdiensten im Sinne des Artikels 6 Nummer 31 der Richtlinie (EU) 2022/2555

 

 

Betreiber von Inhaltszustellnetzen im Sinne des Artikels 6 Nummer 32 der Richtlinie (EU) 2022/2555

Vertrauensdiensteanbieter im Sinne des Artikels 3 Nummer 19 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (20)

Anbieter öffentlicher elektronischer Kommunikationsnetze im Sinne des Artikels 2 Nummer 8 der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates (21)

Anbieter elektronischer Kommunikationsdienste im Sinne des Artikels 2 Nummer 4 der Richtlinie (EU) 2018/1972, soweit deren Dienste öffentlich zugänglich sind

9.

Öffentliche Verwaltung

 

Einrichtungen der öffentlichen Verwaltung von Zentralregierungen entsprechend der jeweiligen Definition der Mitgliedstaaten gemäß nationalem Recht

10.

Weltraum

 

Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden und die Erbringung von weltraumgestützten Diensten unterstützen, ausgenommen Anbieter öffentlicher elektronischer Kommunikationsnetze im Sinne des Artikels 2 Nummer 8 der Richtlinie (EU) 2018/1972

11.

Produktion, Verarbeitung und Vertrieb von Lebensmitteln

 

Lebensmittelunternehmen im Sinne des Artikels 3 Nummer 2 der Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates (22), die ausschließlich Logistik und Großhandel sowie industrielle Großproduktion und -verarbeitung betreiben


(1)  Richtlinie (EU) 2019/944 des Europäischen Parlaments und des Rates vom 5. Juni 2019 mit gemeinsamen Vorschriften für den Elektrizitätsbinnenmarkt und zur Änderung der Richtlinie 2012/27/EU (ABl. L 158 vom 14.6.2019, S. 125).

(2)  Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates vom 5. Juni 2019 über den Elektrizitätsbinnenmarkt (ABl. L 158 vom 14.6.2019, S. 54).

(3)  Richtlinie (EU) 2018/2001 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 zur Förderung der Nutzung von Energie aus erneuerbaren Quellen (ABl. L 328 vom 21.12.2018, S. 82).

(4)  Richtlinie 2009/119/EG des Rates vom 14. September 2009 zur Verpflichtung der Mitgliedstaaten, Mindestvorräte an Erdöl und/oder Erdölerzeugnissen zu halten (ABl. L 265 vom 9.10.2009, S. 9).

(5)  Richtlinie 2009/73/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 über gemeinsame Vorschriften für den Erdgasbinnenmarkt und zur Aufhebung der Richtlinie 2003/55/EG (ABl. L 211 vom 14.8.2009, S. 94).

(6)  Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates vom 11. März 2009 über Flughafenentgelte (ABl. L 70 vom 14.3.2009, S. 11).

(7)  Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 über Leitlinien der Union für den Aufbau eines transeuropäischen Verkehrsnetzes und zur Aufhebung des Beschlusses Nr. 661/2010/EU (ABl. L 348 vom 20.12.2013, S. 1).

(8)  Verordnung (EG) Nr. 549/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Festlegung des Rahmens für die Schaffung eines einheitlichen europäischen Luftraums („Rahmenverordnung“) (ABl. L 96 vom 31.3.2004, S. 1).

(9)  Richtlinie 2012/34/EU des Europäischen Parlaments und des Rates vom 21. November 2012 zur Schaffung eines einheitlichen europäischen Eisenbahnraums (ABl. L 343 vom 14.12.2012, S. 32).

(10)  Richtlinie 2002/59/EG des Europäischen Parlaments und des Rates vom 27. Juni 2002 über die Einrichtung eines gemeinschaftlichen Überwachungs- und Informationssystems für den Schiffsverkehr und zur Aufhebung der Richtlinie 93/75/EWG des Rates (ABl. L 208 vom 5.8.2002, S. 10).

(11)  Delegierte Verordnung (EU) 2015/962 der Kommission vom 18. Dezember 2014 zur Ergänzung der Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates hinsichtlich der Bereitstellung EU-weiter Echtzeit-Verkehrsinformationsdienste (ABl. L 157 vom 23.6.2015, S. 21).

(12)  Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates vom 7. Juli 2010 zum Rahmen für die Einführung intelligenter Verkehrssysteme im Straßenverkehr und für deren Schnittstellen zu anderen Verkehrsträgern (ABl. L 207 vom 6.8.2010, S. 1).

(13)  Verordnung (EG) Nr. 1370/2007 des Europäischen Parlaments und des Rates vom 23. Oktober 2007 über öffentliche Personenverkehrsdienste auf Schiene und Straße und zur Aufhebung der Verordnungen (EWG) Nr. 1191/69 und (EWG) Nr. 1107/70 des Rates (ABl. L 315 vom 3.12.2007, S. 1).

(14)  Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

(15)  Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates vom 23. November 2022 zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung des Beschlusses Nr. 1082/2013/EU (ABl. L 314 vom 6.12.2022, S. 26).

(16)  Richtlinie 2001/83/EG des Europäischen Parlaments und des Rates vom 6. November 2001 zur Schaffung eines Gemeinschaftskodexes für Humanarzneimittel (ABl. L 311 vom 28.11.2001, S. 67).

(17)  Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates vom 25. Januar 2022 zu einer verstärkten Rolle der Europäischen Arzneimittel-Agentur bei der Krisenvorsorge und -bewältigung in Bezug auf Arzneimittel und Medizinprodukte (ABl. L 20 vom 31.1.2022, S. 1).

(18)  Richtlinie (EU) 2020/2184 des Europäischen Parlaments und des Rates vom 16. Dezember 2020 über die Qualität von Wasser für den menschlichen Gebrauch (ABl. L 435 vom 23.12.2020, S. 1).

(19)  Richtlinie 91/271/EWG des Rates vom 21. Mai 1991 über die Behandlung von kommunalem Abwasser (ABl. L 135 vom 30.5.1991, S. 40).

(20)  Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).

(21)  Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (ABl. L 321 vom 17.12.2018, S. 36).

(22)  Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates vom 28. Januar 2002 zur Festlegung der allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts, zur Errichtung der Europäischen Behörde für Lebensmittelsicherheit und zur Festlegung von Verfahren zur Lebensmittelsicherheit (ABl. L 31 vom 1.2.2002, S. 1).