Legislative Entschließung des Europäischen Parlaments vom 13. März 2014 zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (COM(2013)0048 – C7-0035/2013 – 2013/0027(COD))
(Ordentliches Gesetzgebungsverfahren: erste Lesung)
Das Europäische Parlament,
– in Kenntnis des Vorschlags der Kommission an das Europäische Parlament und den Rat (COM(2013)0048),
– gestützt auf Artikel 294 Absatz 2 und Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C7‑0035/2013),
– gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,
– in Kenntnis der vom schwedischen Reichstag im Rahmen des Protokolls Nr. 2 über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vorgelegten begründeten Stellungnahme, in der geltend gemacht wird, dass der Entwurf eines Gesetzgebungsakts nicht mit dem Subsidiaritätsprinzip vereinbar ist,
– in Kenntnis der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses vom 22. Mai 2013(1)
,
– unter Hinweis auf seine Entschließung vom 12. September 2013 mit dem Titel „Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum“(2)
,
– gestützt auf Artikel 55 seiner Geschäftsordnung,
– in Kenntnis des Berichts des Ausschusses für Binnenmarkt und Verbraucherschutz sowie der Stellungnahmen des Ausschusses für Industrie, Forschung und Energie, des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und des Ausschusses für auswärtige Angelegenheiten (A7‑0103/2014),
1. legt den folgenden Standpunkt in erster Lesung fest;
2. fordert die Kommission auf, es erneut zu befassen, falls sie beabsichtigt, ihren Vorschlag entscheidend zu ändern oder durch einen anderen Text zu ersetzen;
3. beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.
Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 13. März 2014 im Hinblick auf den Erlass der Richtlinie 2014/.../EU des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses(1)
,
gemäß dem ordentlichen Gesetzgebungsverfahren(2)
,
in Erwägung nachstehender Gründe:
(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Freiheit und die allgemeine Sicherheit der Bürgerinnen und Bürger der Union,
für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind. [Abänd. 1]
(2) Die Tragweite,und
Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälleund Auswirkungen vonSicherheitsvorfällen
nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Diese Systeme können auch zu einem leichten Angriffsziel vorsätzlich schädigender Handlungen werden, die auf die Störung oder den Ausfall des Betriebs der Systeme gerichtet sind.
Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer und Investoren
untergraben und der Wirtschaft der Union großen Schaden zufügen und letztendlich das Wohlergehen der Bürger der Union sowie die Fähigkeit der Mitgliedstaaten, sich selbst zu schützen und für den Schutz der kritischen Infrastruktur zu sorgen, gefährden
. [Abänd. 2]
(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts.
(3a) Da Systemausfällen nach wie vor in der Regel keine Absicht zugrunde liegt und sie beispielsweise auf natürliche Ursachen oder menschliches Versagen zurückzuführen sind, sollte die Infrastruktur sowohl vorsätzlichen als auch unbeabsichtigten Störungen standhalten, und die Betreiber kritischer Infrastrukturen sollten robuste Systeme konstruieren. [Abänd. 3]
(4) Auf Unionsebene sollte ein Kooperationsmechanismus eingerichtet werden, der den Informationsaustausch sowie eine koordinierte Präventions-,
Erkennungs- und Reaktionsfähigkeit im Bereich der Netz- und Informationssicherheit (im Folgenden „NIS“) ermöglicht. Damit ein solcher Mechanismus wirksam sein kann und alle Beteiligten einbezogen werden, muss jeder Mitgliedstaat über Mindestkapazitäten und eine Strategie verfügen, durch
die in seinem Hoheitsgebiet eine hohe NIS gewährleisten. Zur Förderung einer Risikomanagementkultur gesorgt ist
. Damit das Risikomanagement stärker in die Denk- und Verhaltensweisen integriert wird
und um sicherzustellen, dass
die gravierendsten Sicherheitsvorfälle tatsächlich
gemeldet werden, sollten Mindestsicherheitsanforderungen zumindest
auch für bestimmte Marktteilnehmer im Bereichöffentliche Verwaltungen und Betreiber
kritischer Informationsinfrastrukturen gelten. Börsennotierten Unternehmen sollte nahegelegt werden, Sicherheitsvorfälle freiwillig in ihren Finanzberichten zu veröffentlichen. Der Rechtsrahmen sollte darauf beruhen, dass die Privatsphäre und Integrität der Bürger geschützt werden müssen. Das Warn- und Informationsnetz für kritische Infrastrukturen (WINKI) sollte auf Marktteilnehmer, die unter diese Richtlinie fallen, ausgeweitet werden. [Abänd. 4]
(4a) Während die öffentlichen Verwaltungen aufgrund ihres öffentlichen Auftrags gebührende Sorgfalt beim Betrieb und Schutz ihrer Netze und Informationssysteme walten lassen sollten, sollte der Schwerpunkt dieser Richtlinie auf kritischen Infrastrukturen liegen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen und Gesundheit unbedingt erforderlich sind. Diese Richtlinie sollte nicht für Softwareentwickler und Hardwarehersteller gelten. [Abänd. 5]
(4b) Die Zusammenarbeit und Abstimmung der einschlägigen Stellen der Union mit der Hohen Vertreterin und Vizepräsidentin mit Zuständigkeit für die Gemeinsame Außen- und Sicherheitspolitik und die Gemeinsame Sicherheits- und Verteidigungspolitik sowie mit dem EU-Koordinator für die Terrorismusbekämpfung sollten in den Fällen sichergestellt werden, in denen Sicherheitsvorfälle mit erheblichen Auswirkungen als äußere Gefährdung oder Terrorgefahr eingestuft werden. [Abänd. 6]
(5) Um alle einschlägigen Sicherheitsvorfälle und ‑risiken abdecken zu können, sollte diese Richtlinie für alle Netze und Informationssysteme gelten. Die den öffentlichen Verwaltungen und den Marktteilnehmern auferlegten Verpflichtungen sollten hingegen nicht für Unternehmen gelten, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste im Sinne der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates(3)
bereitstellen und die den besonderen Sicherheits‑ und Integritätsanforderungen des Artikels 13a der Richtlinie unterliegen; die Verpflichtungen sollten auch nicht für Vertrauensdiensteanbieter gelten.
(6) Die bestehenden Kapazitäten reichen nicht aus, um eine hohe NIS in der Union zu gewährleisten. Aufgrund des sehr unterschiedlichen Niveaus der Abwehrbereitschaft verfolgen die Mitgliedstaaten uneinheitliche Ansätze innerhalb der Union. Dies führt dazu, dass Verbraucher und Unternehmen ein unterschiedliches Schutzniveau genießen und die NIS in der Union generell untergraben wird. Wegen fehlender gemeinsamer Mindestanforderungen für öffentliche Verwaltungen und
Marktteilnehmer kann wiederum kein umfassender, wirksamer Mechanismus für die Zusammenarbeit auf Unionsebene geschaffen werden. Universitäten und Forschungszentren spielen eine zentrale Rolle, wenn es darum geht, Forschung, Entwicklung und Innovationen in diesen Bereichen voranzutreiben, und sollten mit angemessenen Finanzmitteln ausgestattet werden. [Abänd. 7]
(7) Um wirksam auf die Herausforderungen im Bereich der Sicherheit von Netzen und Informationssystemen reagieren zu können, ist deshalb ein umfassender Ansatz auf Unionsebene erforderlich, der gemeinsame Mindestanforderungen für Kapazitätsaufbau und ‑planung, die Entwicklung ausreichender Kompetenzen auf dem Gebiet der Cybersicherheit,
Informationsaustausch, Maßnahmenkoordinierung sowie gemeinsame Mindestsicherheitsanforderungen für alle betroffenen Marktteilnehmer und öffentlichen Verwaltungen beinhaltet.enthält
. In Übereinstimmung mit den einschlägigen Empfehlungen der Koordinierungsgruppe für die Cybersicherheit (CSGC) sollten gemeinsame Mindestnormen angewendet werden. [Abänd. 8]
(8) Die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, bleibt von den Bestimmungen dieser Richtlinie unberührt. Nach Artikel 346 des Vertrags über die Arbeitsweiser der Europäischen Union (AEUV) ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seines Erachtens seinen wesentlichen Sicherheitsinteressen widerspricht. Kein Mitgliedstaat ist verpflichtet, Informationen offenzulegen, die nach dem Beschluss 2011/292/EU des Rates(4) als EU-Verschlusssachen eingestuft sind bzw. unter Geheimhaltungsvereinbarungen oder informelle Geheimhaltungsvereinbarungen wie das sogenannte Traffic Light Protocol fallen. [Abänd. 9]
(9) Um eine hohe gemeinsame Netz‑ und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen auf der Grundlage der in dieser Richtlinie festgelegten Mindestanforderungen
NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dasssodass
ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht, wobei die Privatsphäre und personenbezogene Daten geachtet und geschützt werden
. Die Mitgliedstaaten sollten daher zur Einhaltung gemeinsamer Normen im Hinblick auf das Datenformat und die Austauschbarkeit der gemeinsam zu nutzenden und zu bewertenden Daten verpflichtet werden. Die Mitgliedstaaten sollten die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien auf der Grundlage eines gemeinsamen Entwurfs von Mindestanforderungen an NIS-Strategien ersuchen können
. [Abänd. 10]
(10) Zur effektiven Umsetzung der Bestimmungen dieser Richtlinie sollte in jedem Mitgliedstaat eine für die Koordinierung in Sachen NIS zuständige Stelle geschaffen oder auf Unionsebene benannt werden, die für die Zwecke der grenzübergreifenden Zusammenarbeit als Anlaufstelle dient. Diese Stellen sollten mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sein, um die ihnen übertragenen Aufgaben wirksam und effizient erfüllen und somit die Ziele dieser Richtlinie erreichen zu können.
(10a) Die Mitgliedstaaten sollten wegen der Unterschiede zwischen ihren Verwaltungsstrukturen und mit dem Ziel, dass bereits geltende sektorbezogene Vereinbarungen beibehalten werden bzw. bereits eingerichtete Aufsichts- und Regulierungsstellen der Union fortbestehen können und dass keine Doppelungen entstehen, mehrere nationale zuständige Behörden benennen können, die im Rahmen dieser Richtlinie Aufgaben im Zusammenhang mit der Netz- und Informationssicherheit von Marktteilnehmern wahrnehmen. Im Interesse der reibungslosen länderübergreifenden Zusammenarbeit und Kommunikation ist es allerdings notwendig, dass jeder Mitgliedstaat unbeschadet der sektorbezogenen Vereinbarungen nur eine nationale zentrale Anlaufstelle mit Zuständigkeit für die länderübergreifende Zusammenarbeit auf Unionsebene benennt. Ein Mitgliedstaat sollte auch – sofern es verfassungsmäßig oder aufgrund anderer Vereinbarungen erforderlich ist – befugt sein, nur eine Behörde zu benennen, die die Aufgaben der zuständigen Behörde und der zentralen Anlaufstelle wahrnimmt. Die zuständigen Behörden und die zentralen Anlaufstellen sollten zivile Stellen sein, die der vollständigen demokratischen Kontrolle unterliegen, und sie sollten weder Aufgaben in den Bereichen Geheimdienst, Strafverfolgung oder Verteidigung wahrnehmen noch organisatorisch in irgendeiner Form mit in diesen Bereichen tätigen Stellen verbunden sein. [Abänd. 11]
(11) Alle Mitgliedstaaten und Marktteilnehmer
sollten über angemessene technische und organisatorische Kapazitäten verfügen, um die Prävention, Erkennung, Reaktion und Folgenminderung bei NIS-Vorfällen und ‑Risiken gewährleistenjederzeit durchführen
zu können. Die Sicherheitssysteme in der öffentlichen Verwaltung sollten sicher sein und der demokratischen Kontrolle und Prüfung unterliegen. Die allgemein erforderlichen Geräte und Kapazitäten sollten den gemeinsam vereinbarten technischen Normen sowie Standardverfahren entsprechen.
Dafür sollten im Einklang mit den grundlegenden Anforderungen in allen Mitgliedstaaten gut funktionierende IT-Notfallteams (Computer Emergency Response Teams, CERTs
) eingerichtet werden, damit wirksame und geeignete Kapazitäten geschaffen werden, die in der Lage sind, Sicherheitsvorfälle und ‑risiken zu bewältigen und für
eine effiziente Zusammenarbeit auf Unionsebene zu gewährleistensorgen
. Diese CERTs sollten in die Lage versetzt werden, auf der Grundlage gemeinsamer technischer Normen und Standardverfahren zu interagieren. Da die bestehenden CERTs, die für die einzelnen subjektiven Bedürfnisse und Akteure zuständig sind, unterschiedliche Merkmale aufweisen, sollten die Mitgliedstaaten sicherstellen, dass jedem der in dieser Richtlinie genannten Sektoren von mindestens einem CERT Dienstleistungen angeboten werden. In Bezug auf die länderübergreifende CERT-Zusammenarbeit sollten die Mitgliedstaaten sicherstellen, dass die CERTs über hinreichende Mittel verfügen, um an den auf internationaler Ebene und in der Union vorhandenen Kooperationsnetzen mitzuwirken
. [Abänd. 12]
(12) Auf der Grundlage der beträchtlichen Fortschritte, die im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS) zur Förderung von Gesprächen und des Austauschs bewährter VorgehensweisenVerfahren
, u. a. zur Entwicklung von Grundsätzen für die europäische Zusammenarbeit bei Cyberkrisen, erzielt worden sind, sollten die Mitgliedstaaten und die Kommission ein Netz bilden, um eine kontinuierliche Kommunikation herzustellen und ihre Zusammenarbeit auszubauen. Dieser sichereÜber diesen sicheren
und wirksamewirksamen
Kooperationsmechanismus,sollte den Austausch von Informationen sowie die Erkennung und Bewältigung von Sicherheitsvorfällenan dem, falls angezeigt, auch die Marktteilnehmer mitwirken, sollten Informationen ausgetauscht sowie Sicherheitsvorfälle
in strukturierter, abgestimmter Weise auf Unionsebene ermöglichenerkannt und bewältigt werden
. [Abänd. 13]
(13) Die Europäische Agentur für Netz- und Informationssicherheit
(ENISA) sollte die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen. Insbesondere solltesollten
die Kommission unddieMitgliedstaaten
die ENISA bei der Anwendung dieser Richtlinie zu Rate ziehen. Damit sichergestellt ist, dass
die Mitgliedstaaten und die Kommission tatsächlich und rechtzeitig informiert werden, sollten Frühwarnungen vor Sicherheitsvorfällen und ‑risiken über das Kooperationsnetz ausgegeben werden. Um Kapazitäten und Fachwissen unter den Mitgliedstaaten aufbauen zu können, sollte das Kooperationsnetz auch als Mittel für den Austausch bewährter Verfahren dienen und damit seinen Mitgliedern beim Kapazitätsaufbau helfen sowie die Organisation von gegenseitigen Überprüfungen und NIS-Übungen leiten. [Abänd. 14]
(13a) Bei der Umsetzung dieser Richtlinie sollten die Mitgliedstaaten bestehende Organisationsstrukturen, falls vorhanden, nutzen oder anpassen können. [Abänd. 15]
(14) Es sollte eine sichere Infrastruktur für den Informationsaustausch errichtet werden, damit sensible und vertrauliche Informationen über das Kooperationsnetz übermittelt werden können. In der Union bestehende Strukturen sollten in vollem Umfang zu diesem Zweck genutzt werden.
Unbeschadet der Verpflichtung der Mitgliedstaaten, dem Kooperationsnetz Sicherheitsvorfälle und ‑risiken von unionsweiter Bedeutung zu melden, sollte der Zugang zu vertraulichen Informationen anderer Mitgliedstaaten nur gewährt werden, wenn diese nachweisen können, dass durch ihre technischen, finanziellen und personellen Ressourcen und Verfahren sowie ihre Kommunikationsinfrastruktur sichergestellt ist, dass sie in wirksamer, effizienter und sicherer Weise an der Arbeit des Netzes teilnehmen können und dabei transparente Verfahren anwenden
. [Abänd. 16]
(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und untereinander
Informationen und bewährte Verfahren austauschen, einschließlich des gegenseitigen Austauschs relevanter Informationen
und im Gegenzug operativeoperativer
Unterstützung sowie strategisch analysierte Informationen
im FalleFall
von Sicherheitsvorfällen. erhalten
. Zur wirksamen Unterstützung des Austauschs von Informationen und bewährten Verfahren muss unbedingt sichergestellt werden, dass Marktteilnehmer, die an einem solchen Austausch beteiligt sind, keine Benachteiligung aufgrund ihrer Zusammenarbeit erfahren. Durch angemessene Sicherheitsvorkehrungen sollte sichergestellt werden, dass eine solche Zusammenarbeit für diese Betreiber gemäß den Rechtsvorschriften, beispielsweise über den Wettbewerb, das geistige Eigentum, den Datenschutz oder die Cyberkriminalität, nicht mit einem erhöhten Risiko von Verstößen einhergeht oder dass ihnen daraus keine neue Haftung erwächst und dass diese Zusammenarbeit für sie auch nicht mit höheren operativen oder sicherheitstechnischen Risiken verbunden ist. [Abänd. 17]
(16) Um für
Transparenz zu gewährleistensorgen
und die Bürger und Marktteilnehmer der EUUnion
angemessen zu informieren, sollten die zuständigen Behördenzentralen Anlaufstellen
eine gemeinsame unionsweite
Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und ‑risiken, Möglichkeiten der Risikobegrenzung und, falls notwendig, zur Bereitstellung von Empfehlungen zu geeigneten Wartungsmaßnahmen
einrichten. Die Informationen auf dieser Website sollten geräteunabhängig zugänglich sein. Die auf dieser Website veröffentlichten personenbezogenen Daten sollten auf das Notwendige beschränkt und so anonym wie möglich sein. [Abänd. 18]
(17) Werden die betreffenden Informationen nach Vorschriften der EU und der Mitgliedstaaten über das Geschäftsgeheimnis als vertraulich eingestuft, ist deren Vertraulichkeit bei den in dieser Richtlinie vorgesehenen Tätigkeiten und bei der Erreichung der darin gesetzten Ziele sicherzustellen.
(18) Die Kommission und die Mitgliedstaaten sollten auf der Grundlage nationaler Erfahrungen im Krisenmanagement in Zusammenarbeit mit der ENISA einen NIS-Kooperationsplan der Union ausarbeiten, in dem Kooperationsmechanismen, bewährte Verfahren und Verfahrensmuster
zur Prävention, Entdeckung, Meldung und
Bewältigung von Sicherheitsrisiken und ‑vorfällen festgelegt werden. Diesem Plan sollte bei Frühwarnungen über das Kooperationsnetz angemessen Rechnung getragen werden. [Abänd. 19]
(19) Eine Verpflichtung zur Herausgabe einer Frühwarnung über das Netz sollte nur bestehen, wenn Tragweite und Schwere des Sicherheitsvorfalls oder betreffenden ‑risikos so erheblich sind oder werden können, dass ein Informationsaustausch oder eine Koordinierung der Reaktion auf Unionsebene erforderlich ist. Frühwarnungen sollten deshalb auf diejenigen tatsächlichen oder potenziellen
Sicherheitsvorfälle und ‑risiken beschränkt bleiben, die sich rasch ausweiten, nationale Reaktionskapazitäten überschreiten oder mehr als einen Mitgliedstaat betreffen. Um eine angemessene Bewertung zu ermöglichen, sollten dem Kooperationsnetz alle für die Beurteilung des Sicherheitsrisikos oder ‑vorfalls erheblichen Informationen mitgeteilt werden. [Abänd. 20]
(20) Bei Eingang einer Frühwarnung und bei deren Bewertung sollten sich die zuständigen Behördenzentralen Anlaufstellen
auf eine koordinierte Reaktion nach dem NIS-Kooperationsplan der Union einigen. Die zuständigen Behördenzentralen Anlaufstellen, die ENISA
und die Kommission sollten über die im Zuge der koordinierten Reaktion auf nationaler Ebene ergriffenen Maßnahmen informiert werden. [Abänd. 21]
(21) Angesichts des globalen Charakters von NIS-Problemen bedarf es einer engeren internationalen Zusammenarbeit, damit die Sicherheitsstandards und der Informationsaustausch verbessert werden können und ein gemeinsames globales Konzept für NIS-Fragen gefördert werden kann. Der Rahmen für eine derartige internationale Zusammenarbeit sollte der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates(5) und der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates(6) unterliegen. [Abänd. 22]
(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und
den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollte eine Risikomanagementkultursollten die Integration des Risikomanagements in die Denk- und Verhaltensweisen, enge Zusammenarbeit und Vertrauen
gefördert und entwickeltweiterentwickelt
werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen solltesollten
, die den jeweiligen Risiken und vorsätzlichen wie unbeabsichtigten Sicherheitsvorfällen
angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, verlässliche
gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist. [Abänd. 23]
(23) Die Richtlinie 2002/21/EG sieht vor, dass Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste bereitstellen, angemessene Maßnahmen zum Schutz der Integrität und Sicherheit dieser Netze ergreifen müssen, und enthält eine Meldepflicht im Falle von Sicherheitsverletzungen und Integritätsverlust. Nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates(7)
müssen Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Dienste zu gewährleisten.
(24) Diese Verpflichtungen sollten auf Betreiber von Infrastrukturen ausgeweitet werden, die stark von der Informations- und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom- und Gasversorgung, Verkehr, Kreditinstitute, Finanzmarktinfrastrukturen, Gesundheitswesen usw.) unbedingt notwendig sind. Durch eine Störung dieser Netze und Informationssysteme würde der Binnenmarkt beeinträchtigt. Während die in dieser Richtlinie festgelegten
Verpflichtungen solltennicht
über den elektronischen Kommunikationssektor hinaus ausgeweitet werden auf wichtige
Anbieter von Diensten der Informationsgesellschaft im Sinne der Richtlinie 98/34/EG des europäischenEuropäischen
Parlaments und des Rates(8)hinaus ausgeweitet werden sollte
, auf die sich nachgelagerte Dienste der Informationsgesellschaft oder Online-Tätigkeiten wie Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste undim Allgemeinen oder
Application Stores stützen,. Störungen dieser grundlegenden Dienste der Informationsgesellschaft verhindern die Erbringung anderer, darauf aufbauender Dienste der Informationsgesellschaft. Softwareentwickler und Hardwarehersteller sind keine Anbieter von Diensten der Informationsgesellschaft und sind deshalb ausgenommen. Die Verpflichtungen sollten auch auf öffentliche Verwaltungen und Betreiber kritischer Infrastrukturen ausgeweitet werden, die stark von der Informations‑ und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom‑ und Gasversorgung, Verkehr, Finanzinstitutionen, Börsen, Gesundheitswesen usw.) unerlässlich sind. Eine Störung dieser Netze und Informationssysteme würde den Binnenmarkt beeinträchtigen.könnten dieseAnbieter auf freiwilliger Grundlage die zuständige Behörde oder die zentrale Anlaufstelle über die die Netzsicherheit betreffenden Vorfälle informieren, die sie für relevant halten
. Die zuständige Behörde oder die zentrale Anlaufstelle sollte, wenn möglich, den Marktteilnehmern, die den Sicherheitsvorfall gemeldet haben, strategische, analysierte Informationen übermitteln, mit denen dazu beigetragen wird, die sicherheitsrelevante Bedrohung zu überwinden
. [Abänd. 24]
(24a) Zwar sind Hardware- und Softwareanbieter keine Marktteilnehmer, die mit denen vergleichbar sind, die unter diese Richtlinie fallen, doch begünstigen ihre Produkte die Sicherheit von Netzen und Informationssystemen. Ihnen kommt deshalb eine wichtige Aufgabe zu, wenn es darum geht, die Marktteilnehmer in die Lage zu versetzen, ihre Netz- und Informationsinfrastrukturen zu sichern. Da Hardware- und Softwareprodukte bereits den geltenden Produkthaftungsvorschriften unterliegen, sollten die Mitgliedstaaten Vorkehrungen dafür treffen, dass diese Vorschriften auch durchgesetzt werden. [Abänd. 25]
(25) Zu den von öffentlichen Verwaltungen und
Marktteilnehmern zu ergreifenden technischen und organisatorischen Maßnahmen sollte nicht die Verpflichtung gehören, bestimmte geschäftliche Informationen und Produkte der Kommunikationstechnik in bestimmter Weise zu konzipieren, zu entwickeln oder herzustellen. [Abänd. 26]
(26) Öffentliche Verwaltungen undDie
Marktteilnehmer sollten die Sicherheit der ihnen unterstehenden Netze und Systeme gewährleisten. Dabei handelt es sich hauptsächlich um private Netze und Systeme, die entweder von internem IT-Personal verwaltet werden oder deren Sicherheit Dritten anvertraut wurde. Die Verpflichtung zur Gewährleistung der Sicherheit und die Meldepflicht sollten für die einschlägigen Marktteilnehmer und öffentlichen Verwaltungen
unabhängig davon gelten, ob sie ihre Netze und Informationssysteme intern warten oder diese Aufgabe ausgliedern. [Abänd. 27]
(27) Damit keine unverhältnismäßige finanzielle und administrative Belastung für kleine Betreiber und Nutzer entsteht, sollten die Verpflichtungen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz oder Informationssystem ausgesetzt ist; dabei wird dem bei solchen Maßnahmen geltenden neuesten Stand Rechnung getragen. Diese Bestimmungen sollten nicht für Kleinstunternehmen gelten.
(28) Die zuständigen Behörden und die zentralen Anlaufstelle
sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Die zuständigen Behörden und die zentralen Anlaufstellen sollten die Hersteller betroffener IKT-Produkte und die Anbieter betroffener IKT-Dienste über ihnen gemeldete Sicherheitsvorfälle mit erheblichen Auswirkungen benachrichtigen.
Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden und den zentralen Anlaufstellen
gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche VorfälleSicherheitsvorfälle
melden, entstehen kann. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden und die zentralen Anlaufstellen
besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur VeröffentlichungBereitstellung
der entsprechenden Sicherheitsfixes streng vertraulich bleiben. Generell sollten die zentralen Anlaufstellen keine personenbezogenen Daten von natürlichen Personen offenlegen, die an Sicherheitsvorfällen beteiligt sind. Die zentralen Anlaufstellen sollten personenbezogene Daten nur dann offenlegen, wenn es im Hinblick auf den damit verfolgten Zweck notwendig und verhältnismäßig ist. [Abänd. 28]
(29) Die zuständigen Behörden sollten mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein; sie sollten auch befugt sein, hinreichende Auskünfte von Marktteilnehmern und öffentlichen Verwaltungen
einzuholen, damit sie die Sicherheit von Netzen und Informationssystemen beurteilen und die Anzahl, die Größenordnung und die Tragweite von Sicherheitsvorfällen bemessen
können und über verlässliche, umfassende Daten über tatsächliche Sicherheitsvorfälle verfügen, die den Betrieb von Netzen und Informationssystemen beeinträchtigt haben. [Abänd. 29]
(30) Häufig gehen Sicherheitsvorfälle auf kriminelle Handlungen zurück. Selbst wenn zunächst keine hinreichenden Beweise vorliegen, kann bei Sicherheitsvorfällen ein krimineller Hintergrund vermutet werden. In diesem Zusammenhang sollte eine sachgerechte Zusammenarbeit zwischen den zuständigen Behörden, den zentralen Anlaufstellen
und den Strafverfolgungsbehörden sowie eine Zusammenarbeit mit dem EC3 (Europäisches Zentrum zur Bekämpfung der Cyberkriminalität) und der ENISA
Bestandteil einer wirksamen, umfassenden Reaktion auf die Bedrohung durch Sicherheitsvorfälle sein. Die Förderung einer sicheren, robusteren Umgebung setzt insbesondere voraus, dass die Strafverfolgungsbehörden systematisch über Sicherheitsvorfälle mit mutmaßlich kriminellem Hintergrund Bericht informiert werden. Ob es sich um Sicherheitsvorfälle aufgrund schwerer Straftaten handelt, sollte nach dem Unionsrecht über Cyberkriminalität beurteilt werden. [Abänd. 30]
(31) Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Die Mitgliedstaaten und Marktteilnehmer sollten gespeicherte, verarbeitete oder übermittelte Daten gegen zufällige oder rechtswidrige Zerstörung, zufälligen Verlust oder zufällige Änderung sowie gegen unbefugte oder rechtswidrige Speicherung, Offenlegung oder Verbreitung schützen; sie sollten darüber hinaus für die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten sorgen.
Deshalb sollten die zuständigen Behörden die zentralen Anlaufstellen
und die Datenschutzbehörden zusammenarbeiten und Informationen zu allen einschlägigen Fragen
austauschen, falls angezeigt, auch mit den Marktteilnehmern,
um derartigen Verletzungen des Schutzes personenbezogener Daten im Einklang mit den geltenden Datenschutzvorschriften
zu begegnen. Die Mitgliedstaaten sollten die
Meldepflicht bei Sicherheitsvorfällen sollte
so umsetzenumgesetzt werden
, dass der Verwaltungsaufwand bei Sicherheitsvorfällen, die gleichzeitig eine Verletzung des Schutzes personenbezogener Daten im Sinne der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(9)
darstellen und gemäß den geltenden Datenschutzvorschriften der Union gemeldet werden müssen
, so gering wie möglich gehalten wird. Über Kontakte mit den zuständigen Behörden und den Datenschutzbehörden könnte die ENISA Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch sowie Muster entwickelt, mit denen die Verwendung zweier verschiedener Muster für die Meldung von NIS-Vorfällen vermieden werden kann.
Die ENISA sollte Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch und ein einziges Muster entwickelt, mit denen bzw. dem die
Meldung anhand eines einzigen Musters wäre beivon
Sicherheitsvorfällen, bei denen der Schutz personenbezogener Daten beeinträchtigt wurde, eine Vereinfachungvereinfacht
und würde
damit dender
Verwaltungsaufwand für Unternehmen und öffentliche Verwaltungen verringernverringert würde
. [Abänd. 31]
(32) Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang auf freiwilliger Grundlage, der es Marktteilnehmern ermöglichen sollte, alternative Mittel einzusetzen, um mindestens ähnliche Ergebnisse zu erzielen
. Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter interoperabler
Normen fördern, damit für
ein hohes Sicherheitsniveau auf Unionsebene gewährleistet wirdgesorgt ist
. Zu diesem Zweck sollte die Anwendung offener internationaler Normen für Netzinformationssicherheit oder die Konzipierung entsprechender Instrumente in Erwägung gezogen werden. Ein weiterer Schritt
könnte es erforderlich seindarin bestehen
, harmonisierte Normen auszuarbeiten; dies sollte nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates(10)
geschehen. Insbesondere sollten das ETSI, das CEN und das CENELEC ermächtigt werden, wirkungsvolle und effiziente offene Sicherheitsstandards der Union zu empfehlen, bei denen so weit wie möglich keine technischen Voreinstellungen vorgenommen werden und die für kleine und mittelgroße Marktteilnehmer praktikabel sind. Internationale Standards über die Cybersicherheit sollten sehr sorgfältig geprüft werden, um sicherzustellen, dass bei ihnen keine Abstriche gemacht wurden und dass sie ein ausreichend hohes Sicherheitsniveau bieten und folglich dafür gesorgt ist, dass durch die gebotene Einhaltung der Cybersicherheitsstandards das Gesamtniveau der Cybersicherheit in der Union erhöht und nicht herabgesetzt wird. [Abänd. 32]
(33) Die Kommission sollte diese Richtlinie regelmäßig in Abstimmung mit allen betroffenen Interessenträgern
überprüfen, insbesondere um festzustellen, ob sie veränderten gesellschaftlichen, politischen,
technischen oder Marktbedingungen anzupassen ist. [Abänd. 33]
(34) Damit das Kooperationsnetz ungehindert arbeiten kann, sollte der Kommission nach Artikel 290 AEUV die Befugnis übertragen werden, Rechtsakte zur Festlegung der Kriterien, die ein Mitgliedstaat erfüllen muss, um zur Teilnahme am sicheren Systemin Bezug auf das Paket der gemeinsamen Verbindungs- und Sicherheitsstandards für die sichere Infrastruktur
für den Informationsaustausch zugelassen zu werden, sowie derund zur
weiteren Spezifikation für Auslöser von Frühwarnungen und der Festlegung der Umstände, in denen für Marktteilnehmer und öffentliche Verwaltungen die Meldepflicht gilt,
zu erlassen. [Abänd. 34]
(35) Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeiten angemessene Konsultationen – auch auf der Ebene von Sachverständigen – durchführt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission sicherstellen, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und ordnungsgemäß übermittelt werden.
(36) Zur Gewährleistung einheitlicher VoraussetzungenBedingungen
für die Umsetzung dieser Richtlinie sollten der Kommission unbeschadet der Mechanismen der Zusammenarbeit auf nationaler Ebene
Durchführungsbefugnisse in Bezug auf die Zusammenarbeit zwischen den zuständigen Behördenzentralen Anlaufstellen
und der Kommission im Rahmen des Kooperationsnetzes, den Zugang zur sicheren Infrastruktur für den Informationsaustausch,den Zugang zur sicheren Infrastruktur für den Informationsaustausch,
den NIS-Kooperationsplander Union und
die Formen und Verfahren zur Information der Öffentlichkeit über Sicherheitsvorfälle und NIS-bezogene Normen und/oder technische Spezifikationenfür die Meldung von Sicherheitsvorfällenmit erheblichen Auswirkungen
übertragen werden. Diese Befugnisse sollten nachim Einklang mit
der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(11)
, ausgeübt werden. [Abänd. 35]
(37) Bei der Anwendung dieser Richtlinie sollte die Kommission gegebenenfalls mit den einschlägigen Ausschüssen und Einrichtungen auf Unionsebene, insbesondere denen der Bereiche elektronische Verwaltung,
Energie, Verkehr, und
Gesundheit und Verteidigung
, in Kontakt stehen. [Abänd. 36]
(38) Informationen, die nach den Vorschriften der Union und der Mitgliedstaaten über das Geschäftsgeheimnis von einer zuständigen Behörde oder einer zentralen Anlaufstelle
als vertraulich eingestuft werden, sollten mit der Kommission, ihren einschlägigen Stellen, zentralen Anlaufstellen
und/oder weiterenanderen
zuständigen nationalen
Behörden nur ausgetauscht werden, wenn sich dies
für die Zwecke dieser Richtlinie als unbedingt erforderlich erweist. Der Informationsaustausch sollte im Umfang so begrenzt bleiben, dass er im Hinblick auf das verfolgte Ziel relevant, notwendig
und angemessen ist und dass zuvor festgelegte Vertraulichkeits- und Sicherheitskriterien im Einklang mit dem Beschluss 2011/292/EU, Geheimhaltungsvereinbarungen und informellen Geheimhaltungsvereinbarungen wie dem sogenannten Traffic Light Protocol beachtet werden
. [Abänd. 37]
(39) Der Austausch von Informationen über Sicherheitsrisiken und ‑vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden oder zentralen Anlaufstellen
kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte der Europäischen Union verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates(12)
entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 erfolgen. [Abänd. 38]
(40) Da das Ziel dieser Richtlinie, nämlich die Gewährleistung einer hohen Netz‑ und Informationssicherheit in der Union, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann sondern vielmehr wegen der Wirkung der Maßnahme auf Unionsebene besser zu verwirklichen ist, kann die Union in Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.
(41) Diese Richtlinie steht mit den in der Charta der Grundrechte der Europäischen Union anerkannten Grundrechten und Grundsätzen, insbesondere der Achtung des Privatlebens und der Kommunikation, der unternehmerischen Freiheit, dem Eigentumsrecht, dem Recht auf einen wirksamen Rechtsbehelf und dem Recht auf Anhörung im Einklang. Diese Richtlinie ist in Übereinstimmung mit diesen Rechten und Grundsätzen umzusetzen.
(41a) Gemäß der gemeinsamen politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten vom 28. September 2011 haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen innerstaatlicher Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt. [Abänd. 39]
(41b) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat am 14. Juni 2013 eine Stellungnahme abgegeben(13)
,
HABEN FOLGENDE RICHTLINIE ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Geltungsbereich
(1) Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit („NIS“) in der Union festgelegt.
(2) Für diese Zwecke wird in der Richtlinie Folgendes festgelegt:
a) für alle Mitgliedstaaten geltende Verpflichtungen hinsichtlich der Prävention, des Umgangs und der Reaktion in Bezug auf Sicherheitsrisiken und ‑vorfälle, die Netze und Informationssysteme beeinträchtigen;
b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter und wirkungsvoller
Weise mit Sicherheitsrisiken und ‑vorfällen, durch
die Netze und Informationssysteme beeinträchtigen,beeinträchtigt werden
, unter Mitwirkung der Betroffenen
umgegangen bzw. darauf reagiert werden kann; [Abänd. 40]
c) die Festlegung von Sicherheitsvorschriften für Marktteilnehmer und öffentliche Verwaltungen
. [Abänd. 41]
(3) Die in Artikel 14 dieser Richtlinie vorgesehenen Sicherheitsanforderungen gelten weder für Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste im Sinne der Richtlinie 2002/21/EG bereitstellen und die die besonderen Sicherheits‑ und Integritätsanforderungen der Artikel 13a und 13b der genannten Richtlinie erfüllen müssen, noch für Vertrauensdiensteanbieter.
(4) Das Unionsrecht über Cyberkriminalität sowie die Richtlinie 2008/114/EG des Rates(14)
bleiben von dieser Richtlinie unberührt.
(5) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, die Richtlinie 2002/58/EG und die Verordnung (EG) Nr. 45/2001
bleiben von dieser Richtlinie ebenfalls unberührt. Die Nutzung personenbezogener Daten muss auf das für die Zwecke dieser Richtlinie absolut notwendige Mindestmaß beschränkt sein, und die Daten müssen so anonym wie möglich, wenn nicht gar vollständig anonym sein. [Abänd. 42]
(6) Der Austausch von Informationen über das Kooperationsnetz nach Kapitel III und die Meldung von NIS-Vorfällen nach Artikel 14 können die Verarbeitung von personenbezogenen Daten erforderlich machen. Eine solche Verarbeitung personenbezogener Daten, die notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, wird von den Mitgliedstaaten nach Artikel 7 der Richtlinie 95/46/EG und der Richtlinie 2002/58/EG in ihrer in einzelstaatliches Recht umgesetzten Form genehmigt.
Artikel 1a
Schutz und Verarbeitung personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten in den Mitgliedstaaten gemäß dieser Richtlinie erfolgt im Einklang mit den Richtlinien 95/46/EG und 2002/58/EG.
(2) Die Verarbeitung personenbezogener Daten durch die Kommission und die ENISA gemäß dieser Richtlinie erfolgt im Einklang mit der Verordnung (EG) Nr. 45/2001.
(3) Die Verarbeitung personenbezogener Daten durch das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität gemäß dieser Richtlinie erfolgt im Einklang mit dem Beschluss 2009/371/JI des Rates(15).
(4) Die Verarbeitung personenbezogener Daten erfolgt auf redliche und rechtmäßige Weise und wird auf das für die Zwecke der Datenverarbeitung absolut notwendige Mindestmaß beschränkt. Die personenbezogenen Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen höchstens so lange ermöglicht, wie es für die Realisierung des Verarbeitungszwecks erforderlich ist.
(5) Die Meldung von Sicherheitsvorfällen gemäß Artikel 14 dieser Richtlinie lässt die Bestimmungen über die Meldepflicht bei Verstößen gegen den Schutz personenbezogener Daten nach Artikel 4 der Richtlinie 2002/58/EG und der Verordnung (EU) Nr. 611/2013 der Kommission(16) unberührt. [Abänd. 43]
Artikel 2
Mindestharmonisierung
Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten.
Artikel 3
Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
(1) „Netze und Informationssysteme“
a) elektronische Kommunikationsnetze im Sinne der Richtlinie 2002/21/EG,
b) Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdatendigitaler Daten
durchführen sowie [Abänd. 44]
c) Computerdatendigitale Daten
, die von den in Buchstaben a und b genannten Elementen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden; [Abänd. 45]
(2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind der Ausdruck „Sicherheit“ bezeichnet auch technische Geräte, Lösungen und Betriebsabläufe, mit denen sichergestellt wird, dass die in dieser Richtlinie festgelegten Sicherheitsanforderungen erfüllt werden
; [Abänd. 46]
(3) „Sicherheitsrisiko“ alle mit vernünftigem Aufwand feststellbaren
Umstände oder Ereignisse, die potenziell negative Auswirkungen auf die Sicherheit haben; [Abänd. 47]
(4) „Sicherheitsvorfälle“ alle Umstände oder
Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben; [Abänd. 48]
(5) „Dienst der Informationsgesellschaft“ einen Dienst im Sinne der Nummer 2 des Artikels 1 der Richtlinie 98/34/EG; [Abänd. 49]
(6) „NIS-Kooperationsplan“ einen Plan zur Einrichtung eines Rahmens für organisatorische Aufgaben, Zuständigkeiten und Verfahren, die der Aufrechterhaltung oder Wiederherstellung des Betriebs von Netzen und Informationssystemen dienen, die durch Sicherheitsrisiken oder ‑vorfällen beeinträchtigt wurden;
(7) „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Erkennung, Prävention,
Analyse, Eindämmung und Reaktion im FalleFall
von Sicherheitsvorfällen; [Abänd. 50]
(8) „Marktteilnehmer“
a) Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen; Anhang II enthält eine nicht erschöpfende Liste solcher Anbieter; [Abänd. 51]
b) Betreiber kritischer
Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, BörsenFinanzmarktinfrastrukturen, Internet-Knoten, Lebensmittelversorgungskette
und Gesundheit unerlässlich sind und deren Unterbrechung oder Zerstörung mit dem Ergebnis, dass ihre Funktionsfähigkeit nicht aufrechterhalten werden kann, in einem Mitgliedstaat erhebliche Folgen hätte
; soweit die betroffenen Netze und Informationssysteme mit den Kerndiensten im Zusammenhang stehen, enthält;
Anhang II enthält
eine nicht erschöpfende Liste dieser Betreiber; [Abänd. 52]
(8a) „Sicherheitsvorfall mit beträchtlichen Auswirkungen“ einen Sicherheitsvorfall, der die Sicherheit und Kontinuität eines Informationsnetzes oder ‑systems so stark beeinträchtigt, dass es zu erheblichen Störungen zentraler wirtschaftlicher und gesellschaftlicher Funktionen kommt; [Abänd. 53]
(9) „Norm“ eine Norm nach der Verordnung (EU) Nr. 1025/2012;
(10) „Spezifikation“ eine Spezifikation nach der Verordnung (EU) Nr. 1025/2012;
(11) „Vertrauensdiensteanbieter“ eine natürliche oder juristische Person, die elektronische Dienste bereitstellt, die die Erstellung, Überprüfung, Validierung, Handhabung und Bewahrung elektronischer Signaturen, elektronischer Siegel, elektronischer Zeitstempel, elektronischer Dokumente, elektronischer Zustelldienste, der Website-Authentifizierung und elektronischer Zertifikate einschließlich der Zertifikate für elektronische Signaturen und elektronische Siegel beinhalten.
(11a) „geregelter Markt“ einen Markt im Sinne von Artikel 4 Absatz 1 Nummer 14 der Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates(17) [Abänd. 54]
(11b) „multilaterales Handelssystem (MTF)“ ein multilaterales Handelssystem im Sinne von Artikel 4 Absatz 1 Nummer 15 der Richtlinie 2004/39/EG; [Abänd. 55]
(11c) „organisiertes Handelssystem“ (OTF) ein/eine von einer Wertpapierfirma oder einem Marktbetreiber betriebenes multilaterales System oder betriebene multilaterale Fazilität, bei dem/der es sich nicht um einen geregelten Markt oder ein multilaterales Handelssystem oder eine zentrale Gegenpartei handelt und das/die die Interessen einer Vielzahl Dritter am Kauf und Verkauf von Schuldverschreibungen, strukturierten Finanzprodukten, Emissionszertifikaten oder Derivaten innerhalb des Systems in einer Weise zusammenführt, die zu einem Vertrag gemäß Titel II der Richtlinie 2004/39/EG führt; [Abänd. 56]
KAPITEL II
NATIONALER RAHMEN FÜR DIE NETZ‑ UND INFORMATIONSSICHERHEIT
Artikel 4
Grundsatz
Die Mitgliedstaaten gewährleisten in Übereinstimmung mit dieser Richtlinie eine hohe Netz‑ und Informationssicherheit in ihren Hoheitsgebieten.
Artikel 5
Nationale NIS-Strategie und nationaler NIS-Kooperationsplan
(1) Jeder Mitgliedstaat nimmt eine nationale NIS-Strategie an, die die strategischen Ziele und konkreten politischen und Regulierungsmaßnahmen enthält, mit denen eine hohe Netz‑ und Informationssicherheit erreicht und aufrechterhalten werden soll. Gegenstand der nationalen NIS-Strategie sind insbesondere die folgenden Aspekte:
a) die Festlegung der Ziele und Prioritäten der Strategie auf der Grundlage einer aktuellen Analyse der Sicherheitsrisiken und ‑vorfälle;
b) ein Steuerungsrahmen zur Erreichung der strategischen Ziele und Prioritäten, einschließlich einer klaren Festlegung der Aufgaben und Zuständigkeiten der staatlichen Stellen und der anderen einschlägigen Akteure;
c) die Bestimmung allgemeiner Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung mit Mechanismen für die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor;
d) die Aufstellung von Ausbildungs‑, Aufklärungs‑ und Schulungsprogrammen;
e) Forschungs- und Entwicklungspläne und eine Darlegung, wie diese Pläne die Prioritäten widerspiegeln.
ea) Die Mitgliedstaaten können die ENISA um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien und ihrer nationalen NIS-Kooperationspläne auf der Grundlage gemeinsamer Mindestanforderungen an NIS-Strategien ersuchen. [Abänd. 57]
(2) Die nationale NIS-Strategie umfasst einen nationalen NIS-Kooperationsplan, der mindestens die folgenden Elemente enthält:
a) einen RisikobewertungsplanRahmen für das Risikomanagement im Hinblick auf die Ausarbeitung von Methoden
zur Bestimmung der RisikenErmittlung, Priorisierung, Evaluierung
und zurBehandlung von Risiken, die
Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle, Präventions- und Kontrollmöglichkeiten sowie auf die Festlegung von Kriterien für die Auswahl möglicher Gegenmaßnahmen
; [Abänd. 58]
b) Festlegung der Aufgaben und Zuständigkeiten der verschiedenen Behörden und anderen Akteure, die
an der Umsetzung des Plans BeteiligtenRahmens beteiligt sind
; [Abänd. 59]
c) die Festlegung von Kooperations‑ und Kommunikationsabläufen zur Gewährleistung der Prävention, Erkennung, Reaktion, Reparatur und Wiederherstellung, die je nach Alarmstufe angepasst werden;
d) einen Fahrplan für NIS-Übungen und ‑Schulungen zur Verbesserung, Validierung und Erprobung des Plans. Neue Erkenntnisse werden dokumentiert und bei Aktualisierungen in den Plan aufgenommen.
(3) Die nationale NIS-Strategie und der nationale NIS-Kooperationsplan werden der Kommission innerhalb eines Monatsvon drei Monaten
nach ihrer Annahme mitgeteilt. [Abänd. 60]
Artikel 6
Für die Netz‑ und Informationssicherheit zuständige nationale BehördeBehörden und zentrale Anlaufstellen [Abänd. 61]
(1) Jeder Mitgliedstaat benennt eine oder mehrere zivile,
für die Netz- und Informationssicherheit zuständige nationale BehördeBehörden
(„zuständige BehördeBehörden
“). [Abänd. 62]
(2) Die zuständigen Behörden überwachen die Anwendung dieser Richtlinie auf nationaler Ebene und tragen zu ihrer einheitlichen Anwendung in der Union bei.
(2a) Benennt ein Mitgliedstaat mehr als eine zuständige Behörde, so benennt er eine zivile nationale Behörde, beispielsweise eine zuständige Behörde, als nationale zentrale Anlaufstelle für die Netz- und Informationssicherheit („zentrale Anlaufstelle“). Benennt ein Mitgliedstaat nur eine zuständige Behörde, so ist diese zuständige Behörde auch die zentrale Anlaufstelle. [Abänd. 63]
(2b) Die zuständigen Behörden und die zentrale Anlaufstelle eines Mitgliedstaats arbeiten im Hinblick auf die Verpflichtungen gemäß dieser Richtlinie eng zusammen. [Abänd. 64]
(2c) Die zentrale Anlaufstelle sorgt für die länderübergreifende Zusammenarbeit mit anderen zentralen Anlaufstellen. [Abänd. 65]
(3) Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sind, damit sie die ihnen übertragenen Aufgaben wirksam und effizient wahrnehmen und die Ziele dieser Richtlinie erreicht werden. Die Mitgliedstaaten stellen eine wirksame, effiziente und sichere Zusammenarbeit der zuständigen Behördenzentralen Anlaufstellen
über das in Artikel 8 genannte Netz sicher. [Abänd. 66]
(4) Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden von öffentlichen Verwaltungendie zentralen Anlaufstellen, falls im Sinne von Artikel 2a vorhanden, von den
und Marktteilnehmern die Meldungen der Sicherheitsvorfälle nach Artikel 14 Absatz 2 erhalten und ihnen die in Artikel 15 genannten Durchführungs‑ und Durchsetzungsbefugnisse eingeräumt werden. [Abänd. 67]
(4a) Sehen die Unionsrechtsvorschriften eine sektorbezogene Aufsichts- oder Regulierungsstelle der Union vor, beispielsweise zur Netz- und Informationssicherheit, so werden dieser Stelle Sicherheitsvorfälle im Sinne von Artikel 14 Absatz 2 von den betroffenen Marktteilnehmern des jeweiligen Sektors gemeldet und Umsetzungs- und Durchsetzungsbefugnisse nach Artikel 15 eingeräumt. Diese Stelle der Union arbeitet im Hinblick auf diese Verpflichtungen eng mit den zuständigen Behörden und der zentralen Anlaufstelle des Aufnahmestaats zusammen. Die zentrale Anlaufstelle des Aufnahmestaats vertritt die Stelle der Union im Zusammenhang mit den Verpflichtungen gemäß Kapitel III. [Abänd. 68]
(5) Die zuständigen Behörden und die zentralen Anlaufstellen
konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen. [Abänd. 69]
(6) Die Mitgliedstaaten teilen der Kommission unverzüglich die Benennung der zuständigen BehördeBehördenundderzentralenAnlaufstelle
, deren Aufgaben sowie etwaige spätere Änderungen mit. Die Mitgliedstaaten machen die Benennung der zuständigen BehördeBehörden
öffentlich bekannt. [Abänd. 70]
Artikel 7
IT-Notfallteam
(1) Jeder Mitgliedstaat richtet mindestens
ein IT-Notfallteam (Computer Emergency Response Team, „CERT“) für jeden in Anhang II genannten Bereich
ein, das für die Bewältigung von Sicherheitsvorfällen und ‑risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden. [Abänd. 71]
(2) Die Mitgliedstaaten gewährleisten, dass die CERTs technisch, finanziell und personell angemessen ausgestattet sind, um ihre in Anhang I Nummer 2 aufgeführten Aufgaben wirksam wahrnehmen zu können.
(3) Die Mitgliedstaaten gewährleisten, dass sich die CERTs auf nationaler Ebene auf eine sichere, robuste Kommunikations‑ und Informationsinfrastruktur stützen, die mit dem in Artikel 9 genannten sicheren System für den Informationsaustausch kompatibel und interoperabel ist.
(4) Die Mitgliedstaaten informieren die Kommission über die Ressourcen und den Auftrag der CERTs sowie über deren Verfahren zur Bewältigung von Sicherheitsvorfällen.
(5) Das CERT unterstehtDie CERTs unterstehen
der Aufsicht der zuständigen Behörde oder der zentralen Anlaufstelle
, die die Angemessenheit der ihmihnen
zur Verfügung gestellten Ressourcen, seinihre
Mandat und die Wirksamkeit seinesihrer
Verfahren zur Bewältigung von Sicherheitsvorfällen regelmäßig überprüft. [Abänd. 72]
(5a) Die Mitgliedstaaten stellen sicher, dass die CERTs mit angemessenen personellen und finanziellen Ressourcen ausgestattet sind, damit sie sich aktiv an internationalen Kooperationsnetzen und insbesondere Kooperationsnetzen der Union beteiligen können. [Abänd. 73]
(5b) Die CERTs werden in die Lage versetzt und aufgefordert, gemeinsame Übungen mit bestimmten CERTs, mit allen CERTs der Mitgliedstaaten und mit entsprechenden Einrichtungen von Staaten außerhalb der Union sowie mit CERTs von multinationalen und internationalen Institutionen wie Nordatlantikvertragsorganisation und Vereinten Nationen zu initiieren und sich daran zu beteiligen. [Abänd. 74]
(5c) Die Mitgliedstaaten können die ENISA oder andere Mitgliedstaaten um Unterstützung bei der Entwicklung ihrer nationalen CERTs ersuchen. [Abänd. 75]
KAPITEL III
ZUSAMMENARBEIT ZWISCHEN DEN ZUSTÄNDIGEN BEHÖRDEN
Artikel 8
Kooperationsnetz
(1) Die zuständigen Behörden und zentralen Anlaufstellen,
die Kommission und die ENISA
bilden ein Netz („Kooperationsnetz“) für die Zusammenarbeit bei der Bewältigung von Sicherheitsrisiken und ‑vorfällen, die Netze und Informationssysteme betreffen. [Abänd. 76]
(2) Die Kommission und die zuständigen Behördenzentralen Anlaufstellen
stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage kann die Europäische Agentur für Netz- und Informationssicherheit
(ENISA) das Kooperationsnetz mit Know-how und Beratung unterstützen. Die Marktteilnehmer und Anbieter von Cybersicherheitslösungen können, falls notwendig, auch aufgefordert werden, an den Aufgaben des Kooperationsnetzes nach Absatz 3 Buchstaben g und i mitzuwirken.
Das Kooperationsnetz arbeitet, falls notwendig, mit den Datenschutzbehörden zusammen.
Die Kommission informiert das Kooperationsnetz regelmäßig über die Sicherheitsforschung und andere entsprechende Programme von Horizont 2020. [Abänd. 77]
(3) Die zuständigen Behördenzentralen Anlaufstellen
haben innerhalb des Netzes folgende Aufgaben:
a) Verbreitung von Frühwarnungen vor Sicherheitsrisiken und ‑vorfällen nach Artikel 10;
b) Gewährleistung einer koordinierten Reaktion nach Artikel 11;
c) regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;
d) auf Anfrage eines Mitgliedstaats oder der Kommission
die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;
e) auf Anfrage eines Mitgliedstaats oder der Kommission
die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;
f) Zusammenarbeit und InformationsaustauschAustausch von Fachwissen
in Bezug auf alle einschlägigeneinschlägige
Angelegenheiten der Netz- und Informationssicherheit, vor allem in den Bereichen Datenschutz, Energie, Verkehr, Banken, Finanzmärkte und Gesundheit,
mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und GesundheitEU-Einrichtungen
fa) falls angezeigt, Übermittlung von Informationen an den EU-Koordinator für die Terrorismusbekämpfung in Form eines Berichts; sie können auch um Unterstützung bei Analysen, Vorbereitungstätigkeiten und Maßnahmen des Kooperationsnetzes ersuchen;
;
g) Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;
h) Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;
i) Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.
ia) Einbeziehung, Konsultation und, falls notwendig, Informationsaustausch mit Marktteilnehmern, über Sicherheitsrisiken und -vorfälle, durch die deren Netze und Informationssysteme beeinträchtigt werden;
ib) in Zusammenarbeit mit der ENISA die Ausarbeitung von Leitlinien für sektorbezogene Kriterien im Hinblick auf die Meldung von Sicherheitsvorfällen mit beträchtlichen Auswirkungen, zusätzlich zu den Parametern nach Artikel 14 Absatz 2, zur gemeinsamen Auslegung, konsequenten Anwendung und einheitliche Umsetzung innerhalb der Union. [Abänd. 78]
(3a) Das Kooperationsnetz veröffentlicht einmal jährlich einen Bericht über die vorangegangenen 12 Monate, der sich auf seine Aufgaben bezieht und auf dem gemäß Artikel 14 Absatz 4 dieser Richtlinie vorgelegten zusammenfassenden Berichts beruht. [Abänd. 79]
(4) Die Kommission legt mittels Durchführungsrechtsakten die erforderlichen Modalitäten für eine Erleichterung der in den Absätzen 2 und 3 genannten Zusammenarbeit zwischen den zuständigen Behördenundzentralen Anlaufstellen,
der Kommission und der ENISA
fest. Diese Durchführungsrechtsakte werden nach
dem in Artikel 19 Absatz 2 genannten Konsultationsverfahren angenommenPrüfverfahren erlassen
. [Abänd. 80]
Artikel 9
Sicheres System für den Informationsaustausch
(1) Der Austausch sensibler und vertraulicher Informationen über das Kooperationsnetz erfolgt über eine sichere Infrastruktur.
(1a) In allen Verarbeitungsphasen werden bei der Mitwirkung an der sicheren Infrastruktur unter anderem geeignete Vertraulichkeits- und Sicherheitsmaßnahmen gemäß der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 getroffen. [Abänd. 81]
(2) Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, die die Festlegung von Kriterien im Hinblick auf nachstehende Aspekte betreffen, die ein Mitgliedstaat zu erfüllen hat, um für die Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden:
a) die Verfügbarkeit einer sicheren, robusten Kommunikations‑ und Informationsinfrastruktur auf nationaler Ebene, die mit der sicheren Infrastruktur des Kooperationsnetzes nach Artikel 7 Absatz 3 kompatibel und interoperabel ist;
b) die Verfügbarkeit adäquater technischer, finanzieller und personeller Ressourcen und Verfahren für die zuständigen Behörde und das CERT, durch die eine wirksame, effiziente und sichere Teilnahme am sicheren System für den Informationsaustausch nach Artikel 6 Absatz 3, Artikel 7 Absatz 2 und Artikel 7 Absatz 3 ermöglicht wird. [Abänd. 82]
(3) Die Kommission erlässt nach den in den Absätzen 2 und 3 genannten Kriteriengemäß Artikel 18
mittels Durchführungsrechtsakten Beschlüsse über den Zugang der Mitgliedstaaten zu dieser sicheren Infrastruktur. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren erlassen.delegierter Rechtsakte ein Paket mit gemeinsamen Verbindungs- und Sicherheitsstandards, die zentrale Anlaufstellen erfüllen müssen, bevor sensible und vertrauliche Informationen über das Kooperationsnetz ausgetauscht werden. [Abänd. 83]
Artikel 10
Frühwarnungen
(1) Die zuständigen BehördenzentralenAnlaufstellen
oder die Kommission geben im Kooperationsnetz Frühwarnungen zu solchen Sicherheitsrisiken und ‑vorfällen aus, die mindestens eine der folgenden Voraussetzungen erfüllen:
a) sie weiten sich rasch aus oder können sich rasch ausweiten;
b) sie übersteigendie zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall
die nationale Reaktionskapazität oder können diese übersteigenmöglicherweise übersteigt
;
c) sie betreffen oder könnendie zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall
mehr als einen Mitgliedstaat betreffenbetrifft
. [Abänd. 84]
(2) Bei Frühwarnungen stellen die zuständigen Behördenzentralen Anlaufstellen
und die Kommission unverzüglich
alle in ihrem Besitz befindlichen relevanten Informationen zur Verfügung, die für die Beurteilung der Sicherheitsrisiken oder ‑vorfälle von Nutzen sein können. [Abänd. 85]
(3) Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante Informationen zu einem bestimmten Sicherheitsrisiko oder -vorfall vorzulegen. [Abänd. 86]
(4) Hat das der Frühwarnung zugrundeliegende
Sicherheitsrisiko bzw.oder
der Sicherheitsvorfall, für das bzw. den eine Frühwarnung ausgegeben werden muss,mutmaßlich
einen mutmaßlich
kriminellen Hintergrund, informieren die zuständigen Behörden oder die Kommission und hat der betroffene Marktteilnehmer Sicherheitsvorfälle mit mutmaßlich schwerwiegendem kriminellem Hintergrund nach Artikel 15 Absatz 4 gemeldet, sorgen die Mitgliedstaaten dafür, dass gegebenenfalls
das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität informiert wird
. [Abänd. 87]
(4a) Die Mitglieder des Kooperationsnetzes dürfen Informationen über Sicherheitsrisiken und -vorfälle im Sinne von Absatz 1 ohne vorherige Genehmigung der zentralen Anlaufstelle, die die Meldung übermittelt hat, nicht veröffentlichen.
Darüber hinaus informiert die zentrale Anlaufstelle, die die Meldung übermittelt, vor der Weitergabe von Informationen über das Kooperationsnetz den Marktteilnehmer, auf den sich die Maßnahme bezieht, und anonymisiert die entsprechenden Informationen, sofern sie es für notwendig erachtet. [Abänd. 88]
(4b) Hat das Sicherheitsrisiko oder der Sicherheitsvorfall, für das bzw. den eine Frühwarnung ausgegeben werden muss, mutmaßlich einen schwerwiegenden länderübergreifenden technischen Hintergrund, informieren die zentralen Anlaufstellen oder die Kommission die ENISA.[Abänd. 89]
(5) Die Kommission wird ermächtigt, delegierte Rechtsakte nach Artikel 18 zur Präzisierung der Sicherheitsrisiken und ‑vorfälle zu erlassen, die die in Absatz 1 dieses Artikels genannten Frühwarnungen auslösen.
Artikel 11
Koordinierte Reaktion
(1) Im Anschluss an eine Frühwarnung nach Artikel 10 einigen sich die zuständigen Behördenzentralen Anlaufstellen unverzüglich
nach einer Bewertung der einschlägigen Informationen auf eine koordinierte Reaktion gemäß dem in Artikel 12 genannten NIS-Kooperationsplan der Union. [Abänd. 90]
(2) Die verschiedenen auf nationaler Ebene im Zuge der koordinierten Reaktion angenommenen Maßnahmen werden dem Kooperationsnetz mitgeteilt.
Artikel 12
NIS-Kooperationsplan der Union
(1) Die Kommission wird ermächtigt, mittels Durchführungsrechtsakten einen NIS-Kooperationsplan der Union anzunehmen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.
(2) Der NIS-Kooperationsplan der Union sieht Folgendes vor:
a) für die Zwecke des Artikels 10:
– die Festlegung der Form und der Verfahren für die Einholung und den Austausch geeigneter und vergleichbarer Informationen über Sicherheitsrisiken und ‑vorfälle durch die zuständigen Behörden zentralen Anlaufstellen
, [Abänd. 91]
– die Festlegung der Verfahren und Kriterien zur Bewertung der Sicherheitsrisiken und ‑vorfälle durch das Kooperationsnetz.
b) die für die koordinierte Reaktion nach Artikel 11 einzuhaltenden Verfahren, einschließlich der Aufgaben und Zuständigkeiten und der Kooperationsverfahren;
c) einen Fahrplan für NIS-Übungen und ‑Schulungen zur Verbesserung, Validierung und Erprobung des Plans;
d) ein Programm für den Wissenstransfer zwischen den Mitgliedstaaten im Hinblick auf den Kapazitätsaufbau und das gegenseitige Lernen;
e) ein Programm zur Sensibilisierung und Schulung der Mitgliedstaaten untereinander.
(3) Der NIS-Kooperationsplan wird spätestens ein Jahr nach dem Inkrafttreten dieser Richtlinie angenommen und regelmäßig überarbeitet. Über die Ergebnisse jeder Überarbeitung wird dem Europäischen Parlament Bericht erstattet. [Abänd. 92]
(3a) Es wird dafür gesorgt, dass der NIS-Kooperationsplan der Union mit den nationalen NIS-Strategien und den nationalen NIS-Kooperationsplänen gemäß Absatz 5 im Einklang steht. [Abänd. 93]
Artikel 13
Internationale Zusammenarbeit
Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Notwendigkeit eines angemessenen SchutzesTatsache Rechnung getragen, dass die im Kooperationsnetz zirkulierenden personenbezogenen Daten angemessen geschützt werden müssen, und das Kontrollverfahren angegeben, das anzuwenden ist, um für den Schutz
der im Kooperationsnetz zirkulierenden personenbezogenen Daten Rechnung getragenSorge zu tragen
. Das Europäische Parlament wird über die Aushandlung der Vereinbarungen unterrichtet. Die Übermittlung personenbezogener Daten an Empfänger in Ländern außerhalb der Union erfolgt nach Maßgabe der Artikel 25 und 26 der Richtlinie 95/46/EG und des Artikels 9 der Verordnung (EG) Nr. 45/2001
. [Abänd. 94]
Artikel 13a
Kritikalitätsstufe von Marktteilnehmern
Die Mitgliedstaaten können die Kritikalitätsstufe von Marktteilnehmern festlegen und berücksichtigen dabei die Besonderheiten der Sektoren, Parameter wie die Bedeutung des jeweiligen Marktteilnehmers für die Aufrechterhaltung des sektorbezogenen Diensts in ausreichendem Umfang, die Anzahl der Dienstempfänger des Marktteilnehmers und die Zeitspanne, ab deren Ablauf die Unterbrechung der Kerndienste des Marktteilnehmers negative Auswirkungen auf die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten hat. [Abänd. 95]
KAPITEL IV
SICHERHEIT DER NETZE UND INFORMATIONSSYSTEME DER ÖFFENTLICHEN VERWALTUNGEN UND DER MARKTTEILNEHMER
Artikel 14
Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
(1) Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen unddie
Marktteilnehmer geeignete und verhältnismäßige
technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen. Dieseerkennen und konkret zubewältigen
. Mit diesen
Maßnahmen müssenmuss
unter Berücksichtigung des Standes der Technik für
ein Maß an Sicherheit gewährleistengesorgt werden
, das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihredie Sicherheit ihrer
Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wirdsichergestellt ist
. [Abänd. 96]
(2) Die Mitgliedstaaten gewährleistensorgen dafür
, dass öffentliche Verwaltungen unddie
Marktteilnehmer dender
zuständigen BehördenBehörde oder der zentralen Anlaufstelle
Sicherheitsvorfälle unverzüglich
melden, die erhebliche Auswirkungen auf die SicherheitKontinuität
der von ihnen bereitgestellten Kerndienste haben. Durch die Meldung entsteht der meldenden Partei keine höhere Haftung.
Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden unter anderem folgende Parameter herangezogen: [Abänd. 97]
a) die Anzahl der Nutzer, deren Kerndienst betroffen ist; [Abänd. 98]
b) die Dauer des Sicherheitsvorfalls; [Abänd. 99]
c) die geografische Ausbreitung im Sinne des von dem Sicherheitsvorfall betroffenen Gebiets. [Abänd. 100]
Diese Parameter werden im Einklang mit Artikel 8 Absatz 3 Buchstabe ib genauer festgelegt. [Abänd. 101]
(2a) Die Marktteilnehmer melden den zuständigen Behörden oder der zentralen Anlaufstelle des Mitgliedstaats, in dem ein Kerndienst betroffen ist, die in den Absätzen 1 und 2 genannten Sicherheitsvorfälle. Sind Kerndienste in mehreren Mitgliedstaaten betroffen, so warnt die zentrale Anlaufstelle, bei der die Meldung eingegangen ist, die anderen betroffenen zentralen Anlaufstellen und stützt sich dabei auf die vom Marktteilnehmer übermittelten Angaben. Der Marktteilnehmer wird unverzüglich davon in Kenntnis gesetzt, welche weiteren zentralen Anlaufstellen von dem Sicherheitsvorfall unterrichtet wurden, welche Maßnahmen eingeleitet wurden und zu welchen Ergebnissen dies geführt hat; darüber hinaus erhält er sämtliche Informationen, die für den Sicherheitsvorfall relevant sind. [Abänd. 102]
(2b) Enthält die Meldung personenbezogene Daten, so dürfen sie nur Empfängern in der zuständigen Behörde oder zentralen Anlaufstelle offengelegt werden, bei der die Meldung eingegangen ist und die diese Daten verarbeiten müssen, um ihre Aufgaben im Einklang mit den Datenschutzvorschriften zu erfüllen. Offengelegt werden dürfen nur Daten, deren Offenlegung notwendig ist, damit die Aufgaben erfüllt werden können. [Abänd. 103]
(2c) Marktteilnehmer, die in Anhang II nicht aufgeführt sind, können Sicherheitsvorfälle gemäß Artikel 14 Absatz 2 freiwillig melden. [Abänd. 104]
(3) Die Absätze 1 und 2 gelten für alle Marktteilnehmer, die Dienste in der Europäischen Union bereitstellen.
(4) Die zuständigeNach Konsultation der zuständigen
Behörde, bei der eine Meldung eingegangen ist, und des betroffenen Marktteilnehmers
kann die Öffentlichkeit unterrichten oderzentrale Anlaufstelle
die öffentliche Verwaltung und die Marktteilnehmer zur Unterrichtung verpflichten,Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten
, wenn sie zu dem Schluss gelangt,festlegt,
dass die Bekanntmachung des Sicherheitsvorfalls im öffentlichen Interesse liegt.der Öffentlichkeit der Sachverhalt bekannt sein muss
, damit weiteren Sicherheitsvorfällen vorgebeugt werden kann oder noch andauernde Sicherheitsvorfälle behandelt werden können, oder wenn ein von einem Sicherheitsvorfall betroffener Marktteilnehmer es abgelehnt hat, unverzüglich auf eine im Zusammenhang mit diesem Sicherheitsvorfall gravierende strukturelle Schwachstelle zu reagieren
.
Vor der Bekanntmachung in der Öffentlichkeit muss die zuständige Behörde, bei der die Meldung eingegangen ist, dafür sorgen, dass der betroffene Marktteilnehmer angehört werden kann und dass der Beschluss über die Bekanntmachung in der Öffentlichkeit sorgsam gegen das Interesse der Öffentlichkeit abgewogen wurde.
Werden Informationen über einzelne Sicherheitsvorfälle in der Öffentlichkeit bekannt gemacht, so muss die zuständige Behörde oder zentrale Anlaufstelle, bei der die Meldung eingegangen ist, dafür sorgen, dass die Bekanntmachung so anonym wie möglich erfolgt.
Wenn es nach vernünftigem Ermessen möglich ist, übermittelt die zuständige Behörde oder die zentrale Anlaufstelle dem betroffenen Marktteilnehmer Informationen, die der konkreten Behandlung des gemeldeten Sicherheitsvorfalls zuträglich sind.
Die zuständige Behördezentrale Anlaufstelle
legt dem Kooperationsnetz jährlich einen zusammenfassenden Bericht über die eingegangenen Meldungen mit der Anzahl der Meldungen und unter Nennung der in Absatz 2 aufgeführten Parameter eines Sicherheitsvorfalls
und die nach diesem Absatz ergriffenen Maßnahmen vor. [Abänd. 105]
(4a) Die Mitgliedstaaten legen den Marktteilnehmern nahe, Sicherheitsvorfälle, an denen ihre Unternehmen beteiligt sind, freiwillig in ihren Finanzberichten zu veröffentlichen. [Abänd. 106]
(5) Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, in denen festgelegt wird, unter welchen Umständen bei Sicherheitsvorfällen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt. [Abänd. 107]
(6) Vorbehaltlich etwaiger nach Absatz 5 erlassener delegierter Rechtsakte können
Die zuständigen Behörden oder die zentralen Anlaufstellen können
Leitlinien annehmen und erforderlichenfalls Anweisungen
zu den Umständen herausgebenerlassen
, in denen für öffentliche Verwaltungen und
Marktteilnehmer die Meldepflicht gilt. [Abänd. 108]
(7) Die Kommission wird ermächtigt, mittels Durchführungsrechtsakten die für die Zwecke des Absatzes 2 geltenden Formen und Verfahren festzulegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.
(8) Die Absätze 1 und 2 gelten nicht für Kleinstunternehmen im Sinne der Definition der Empfehlung 2003/361/EG der Kommission(18), es sei denn, das Kleinstunternehmen ist als Tochterunternehmen eines Marktteilnehmers im Sinne von Artikel 3 Nummer 8 Buchstabe b tätig
. [Abänd. 109]
(8a) Die Mitgliedstaaten können beschließen, diesen Artikel und Artikel 15 entsprechend auf öffentliche Verwaltungen anzuwenden. [Abänd. 110]
Artikel 15
Umsetzung und Durchsetzung
(1) Die Mitgliedstaaten gewährleistensorgen dafür
, dass den zuständigen Behörden alleund den zentralen Anlaufstellen die
Befugnisse eingeräumt werden, die fürdiese benötigen, um sicherzustellen, dass
die Untersuchung von Verstößen der öffentlichen Verwaltungen oder der
Marktteilnehmer gegen dieihren
Verpflichtungen des Artikels gemäß Artikel
14 sowie deren Auswirkungen auf die Netz‑ und Informationssicherheit erforderlich sindnachkommen
. [Abänd. 111]
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen
befugt sind, von den Marktteilnehmern und den öffentlichen Verwaltungen
zu verlangen, dass sie [Abänd. 112]
a) die zur Beurteilung der Sicherheit ihrer Netze und Informationssysteme erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln;
b) sichBelege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorlegen, beispielsweise die Ergebnisse
einer Sicherheitsüberprüfung unterziehen
, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen nationalen Behörde durchgeführt wird, und deren Ergebnisse
der zuständigen Behörde oder der zentralen Anlaufstelle die Belege
übermitteln. [Abänd. 113]
Die zuständigen Behörden und die zentralen Anlaufstellen nennen bei Übermittlung ihres Ersuchens dessen Zweck und geben hinreichend genau an, welche Angaben verlangt werden. [Abänd. 114]
(3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen
befugt sind, Marktteilnehmern und öffentlichen Verwaltungen
verbindliche Anweisungen zu erteilen. [Abänd. 115]
(3a) Abweichend von Absatz 2 Buchstabe b können die Mitgliedstaaten beschließen, dass die zuständigen Behörden oder die zentralen Anlaufstellen auf der Grundlage der nach Artikel 13a festgelegten jeweiligen Kritikalitätsstufe auf bestimmte Marktteilnehmer ein anderes Verfahren anwenden. In diesem Fall
a) sind die zuständigen Behörden bzw. zentralen Anlaufstellen befugt, den Marktteilnehmern eine hinreichend spezifische Aufforderung zu übermitteln, mit der Auflage, Belege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorzulegen, beispielsweise die Ergebnisse einer Sicherheitsüberprüfung, die von einem qualifizierten internen Prüfer durchgeführt wurde, und die Belege an die zuständige Behörde oder die zentrale Anlaufstelle zu übermitteln;
b) kann die zuständige Behörde oder die zentrale Anlaufstelle nach Übermittlung der Auskünfte durch den Marktteilnehmer gemäß Buchstabe a bei Bedarf zusätzliche Belege oder eine zusätzliche Überprüfung durch eine qualifizierte unabhängige Stelle oder eine nationale Behörde anfordern.
3b) Die Mitgliedstaaten können die Häufigkeit und Intensität der Überprüfungen eines Marktteilnehmers verringern, wenn aus der Sicherheitsüberprüfung hervorgeht, dass er seinen Verpflichtungen nach Kapitel IV durchgehend nachgekommen ist. [Abänd. 116]
(4) Die zuständigen Behörden meldenund die zentralen Anlaufstellen unterrichten die betroffenen Marktteilnehmer über die Möglichkeit,
den Strafverfolgungsbehörden Sicherheitsvorfälle, bei denen ein schwerwiegender kriminellermit mutmaßlich schwerwiegendem kriminellem
Hintergrund vermutet wirdzu melden
. [Abänd. 117]
(5) Unbeschadet der geltenden Datenschutzvorschriften arbeiten die zuständigen Behörden und zentralen Anlaufstellen
bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, arbeiten die zuständigen Behörden
eng mit den Datenschutzbehörden zusammen. Die zentralen Anlaufstellen und die Datenschutzbehörden arbeiten gemeinsam mit der ENISA Mechanismen für den Informationsaustausch und ein einheitliches Muster aus, mit denen bzw. dem Meldungen gemäß Artikel 14 Absatz 2 dieser Richtlinie und weiteren Unionsrechtsvorschriften über den Datenschutz übermittelt werden. [Abänd. 118]
(6) Die Mitgliedstaaten gewährleistensorgendafür
, dass alle Verpflichtungen, die öffentlichen Verwaltungen oder
Marktteilnehmern nach diesem Kapitel auferlegt werden, einer gerichtlichen Nachprüfung unterzogen werden können. [Abänd. 119]
(6a) Die Mitgliedstaaten können beschließen, Artikel 14 und diesen Artikel entsprechend auf öffentliche Verwaltungen anzuwenden. [Abänd. 120]
Artikel 16
Normung
(1) Um eine einheitliche Umsetzung des ArtikelsDamit Artikel
14 Absatz 1 zu gewährleisteneinheitlich umgesetzt wird
, fördern die Mitgliedstaaten die Anwendung einschlägiger europäischer oder internationaler interoperabler
Normen und/oder Spezifikationen für die Netz‑ und Informationssicherheit, ohne jedoch die Anwendung einer bestimmten Technologie vorzuschreiben
. [Abänd. 121]
(2) Die Kommission stellt mittels Durchführungsrechtsakten eineerteilt dem zuständigen europäischen Normungsgremium nach Rücksprache mit den maßgeblichen Interessenträgern das Mandat zur Erstellung einer
Liste der in Absatz 1 genannten Normen auf
. und/oder Spezifikationen.
Diese Liste wird im Amtsblatt der Europäischen Union
veröffentlicht. [Abänd. 122]
KAPITEL V
SCHLUSSBESTIMMUNGEN
Artikel 17
Sanktionen
(1) Die Mitgliedstaaten erlassen Vorschriften über Sanktionen für Verstöße gegen die nach dieser Richtlinie erlassenen nationalen Bestimmungen und treffen alle erforderlichen Maßnahmen, um deren Anwendung sicherzustellen. Diese Sanktionen müssen wirksam, angemessen und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften spätestens zum Zeitpunkt der Umsetzung dieser Richtlinie mit und melden ihr etwaige spätere Änderungen unverzüglich.
(1a) Die Mitgliedstaaten sorgen dafür, dass die Sanktionen nach Absatz 1 nur greifen, wenn der Marktteilnehmer seinen Verpflichtungen nach Kapitel IV vorsätzlich oder grob fahrlässig nicht nachgekommen ist. [Abänd. 123]
(2) Die Mitgliedstaaten gewährleisten, dass die bei Sicherheitsvorfällen mit Folgen für den Schutz personenbezogener Daten vorgesehenen Sanktionen, mit den Sanktionen im Einklang stehen, die in der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(19)
vorgesehen sind.
Artikel 18
Ausübung der Befugnisübertragung
(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission nach Maßgabe dieses Artikels übertragen.
(2) Die in Artikel 9 Absatz 3 und Artikel 10 Absatz 5 genannte Befugnis zum Erlass delegierter Rechtsakte wird der Kommission übertragen. Die Kommission legt spätestens neun Monate vor Ablauf des Fünfjahreszeitraums einen Bericht über die übertragenen Befugnisse vor. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widerspricht einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.
(3) Die inBefugnisübertragung gemäß
Artikel 9 Absatz 3 und Artikel 10 Absatz 5 und Artikel 14 Absatz 5 genannte Befugnisübertragung
kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union
oder zu einem darinim Beschluss über den Widerruf
angegebenen späteren Zeitpunkt wirksam. Er berührt nicht
Die Gültigkeit dervon delegierten Rechtsakten, die
bereits in Kraft getretenen delegierten Rechtsaktesind, wird von dem Beschluss über den Widerruf nicht berührt
. [Abänd. 124]
(4) Sobald die Kommission einen delegierten Rechtsakt erlassen hat, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
(5) Ein delegierter Rechtsakt, der nachgemäß
Artikel 9 Absatz 3 und Artikel 10 Absatz 5 und Artikel 14 Absatz 5
erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben hathaben
oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Diese Frist wird
auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist
um zwei Monate verlängert. [Abänd. 125]
Artikel 19
Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss (Ausschuss für Netz‑ und Informationssicherheit) unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 4 der Verordnung (EU) Nr. 182/2011.
(3) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
Artikel 20
Überprüfung
Die Kommission überprüft das Funktionieren dieser Richtlinie und insbesondere die Liste in Anhang II
regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen. [Abänd. 126]
Artikel 21
Umsetzung
(1) Die Mitgliedstaaten erlassen und veröffentlichen die erforderlichen Rechts- und Verwaltungsvorschriften spätestens [anderthalb Jahre nach deren Annahme], um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.
Sie wenden diese Vorschriften [anderthalb Jahre nach ihrer Annahme] an.
Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.
(2) Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten innerstaatlichen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.
Artikel 22
Inkrafttreten
Diese Richtlinie tritt am zwanzigsten Tag nach dem Tag ihrer Veröffentlichung im Amtsblatt der Europäischen Union
in Kraft.
Artikel 23
Adressaten
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.
Geschehen zu ... am …
Im Namen des Europäischen Parlaments Im Namen des Rates
Der Präsident/Die Präsidentin Der Präsident/Die Präsidentin
Die Anforderungen an das CERT und seine Aufgaben werden angemessen und genau festgelegt und durch nationale Strategien und/oder Vorschriften gestützt. Sie müssen Folgendes umfassen:
1) Anforderungen an das CERT
a) Das CERT gewährleistet
Die CERTs sorgen für die
hohe Verfügbarkeit seinerihrer
Kommunikationsdienste durch Vermeidung kritischer Ausfallverursacher, indem sie punktuellen Ausfällen vorbeugen
und durch Bereitstellung verschiedenermehrere
Kanäle bereitstellen
, damit das CERTdie CERTs
ständig erreichbar bleibtbleiben
und selbst Kontakt untereinander
aufnehmen kannkönnen
. Die Kommunikationskanäle müssen genau spezifiziert sein und den CERT-Nutzern (Constituency) und Kooperationspartnern bekannt gegeben werden. [Abänd. 128]
b) Das CERT ergreift und verwaltet Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der eingehenden und von ihm behandelten Informationen zu gewährleisten.
c) Die CERT-Dienststellen und die unterstützenden Informationssysteme werden an sicheren Standorten und mit gesicherten Netzen und Informationssystemen
eingerichtet. [Abänd. 129]
d) Es wird ein Managementsystem für die Dienstqualität eingerichtet, um die Arbeit des CERT nachzuverfolgen und eine kontinuierliche Verbesserung zu gewährleisten. Das System basiert auf genau definierten Metriken, die formale Dienstleistungsstufen und grundlegende Leistungsindikatoren umfassen.
e) Betriebskontinuität:
– Das CERT verfügt über ein geeignetes System zur Verwaltung und Weiterleitung von Anfragen, um Übergaben zu erleichtern.
– Das CERT ist personell so ausgestattet, dass es eine ständige Verfügbarkeit gewährleisten kann.
– Das CERT stützt sich auf eine Infrastruktur, deren Kontinuität sichergestellt ist. Zu diesem Zweck werden für die Arbeit des CERT Redundanzsysteme und Ausweicharbeitsräume geschaffen, damit der kontinuierliche Zugang zu den Kommunikationsmitteln gewährleistet ist.
2) Aufgaben des CERT
a) Die Aufgaben des CERT müssen mindestens Folgendes umfassen:
– Erkennung und
Überwachung von Sicherheitsvorfällen auf nationaler Ebene; [Abänd. 130]
– Ausgabe von Frühwarnungen, Alarmmeldungen sowie Bekanntmachung und Verbreitung von Informationen über Sicherheitsrisiken und ‑vorfälle unter den Betroffenen bzw. Beteiligten;
– Reaktion auf Sicherheitsvorfälle;
– dynamische Analyse von Sicherheitsrisiken und ‑vorfällen und Lagebeurteilung;
– Aufklärung der breiten Öffentlichkeit über die mit Online-Aktivitäten verbundenen Risiken;
– aktive Mitwirkung in internationalen CERT-Kooperationsnetzen sowie CERT-Kooperationsnetzen der Union; [Abänd. 131]
– Durchführung von NIS-Kampagnen.
b) Das CERT unterhält zwecks Zusammenarbeit Verbindungen zum Privatsektor.
c) Zur Erleichterung der Zusammenarbeit fördert das CERT die Annahme und Anwendung gemeinsamer bzw. standardisierter Verfahren für:
– Abläufe zur Bewältigung von Sicherheitsvorfällen und ‑risiken;
– Systeme zur Klassifizierung von Sicherheitsvorfällen, Sicherheitsrisiken und Informationen;
– Klassifikationsschemata für Metriken;
– Formate für den Austausch von Informationen über Sicherheitsrisiken und ‑vorfälle sowie System-Namenskonventionen.
ANHANG II
Liste der Marktteilnehmer
nach Artikel 3 Absatz 8 Buchstabe a
1. Plattformen des elektronischen Geschäftsverkehrs
2. Internet-Zahlungs-Gateways
3. Soziale Netze
4. Suchmaschinen
5. Cloud-Computing-Dienste
6. Application Stores
nach Artikel 3 Absatz 8 Buchstabe b [Abänd. 132]
1. Energie
a) Strom
– Strom- und GasversorgerLieferanten
– Verteilernetzbetreiber und Endkundenlieferanten im Strom- und/oder GassektorFernleitungsnetzbetreiber und Endkundenlieferanten
– Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und LNG-Anlagenbetreiber
– Übertragungsnetzbetreiber (Strom)
b) Erdöl
– Erdöl-FernleitungenErdölfernleitungen
und Erdöllager
– Betreiber von Anlagen zur Produktion, Raffination und Behandlung von Erdöl, Betreiber von Erdöllagern und ‑fernleitungen
c) Erdgas
– Strom- und Gasmarktteilnehmer Lieferanten
– Fernleitungsnetzbetreiber und Endkundenlieferanten
– Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und Flüssigerdgas-Anlagenbetreiber
– Betreiber von Erdöl- und Erdgas-Produktions-, ‑Raffinations- und BehandlungsanlagenAnlagen zur Produktion, Raffination und Behandlung von Erdgas, Betreiber von Erdgasspeichern und ‑fernleitungen
– Marktteilnehmer (Erdgas) [Abänd. 133]
2. Verkehr
– Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)
– Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der See- und Küstenschifffahrt)
– Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)
– Flughäfen
– Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
– Häfen
– Unterstützende Logistikdienste: a) Lagerhaltung und Lagerung b) Frachtumschlagsleistungen und c) andere unterstützende Verkehrsleistungen
a) Straßenverkehr
i) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
ii) unterstützende Logistikdienste:
– Lagerhaltung und Lagerung
– Frachtumschlagsleistungen und
– andere unterstützende Verkehrsleistungen
b) Schienenverkehr
i) Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)
ii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
iii) unterstützende Logistikdienste:
– Lagerhaltung und Lagerung
– Frachtumschlagsleistungen und
– andere unterstützende Verkehrsleistungen
c) Luftverkehr
i) Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)
ii) Flughäfen
iii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen
iv) unterstützende Logistikdienste:
– Lagerhaltung
– Frachtumschlagsleistungen und
– andere unterstützende Verkehrsleistungen
d) Seeverkehr
i) Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der Binnen-, See- und Küstenschifffahrt) [Abänd. 134]
3. Bankwesen: Kreditinstitute nach Artikel 4 Absatz 1 der Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates(20)
.
4. Finanzmarktinfrastrukturen: Börsengeregelte Märkte, multilaterale Handelssysteme, organisierte Handelssysteme
und Clearingstellen mit zentraler Gegenpartei [Abänd. 135]
5. Gesundheitswesen: Einrichtungen der medizinischen Versorgung (einschließlich Krankenhäusern und Privatkliniken) sowie andere Einrichtungen der Gesundheitsfürsorge
Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (Rahmenrichtlinie) (ABl. L 108 vom 24.4.2002, S. 33).
Beschluss 2011/292/EU des Rates vom 31. März 2011 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 141 vom 27.5.2011, S. 17).
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 vom 21.7.1998, S. 37).
Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12).
Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (ABl. L 345 vom 23.12.2008, S. 75).
Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 173 vom 26.6.2013, S.2).
Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).
Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (ABl. L 177 vom 30.6.2006, S. 1).