Das Europäische Parlament,

–  in Kenntnis des Vorschlags der Kommission an das Europäische Parlament und den Rat (COM(2013)0048),

–  gestützt auf Artikel 294 Absatz 2 und Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C7‑0035/2013),

–  gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

–  in Kenntnis der vom schwedischen Reichstag im Rahmen des Protokolls Nr. 2 über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vorgelegten begründeten Stellungnahme, in der geltend gemacht wird, dass der Entwurf eines Gesetzgebungsakts nicht mit dem Subsidiaritätsprinzip vereinbar ist,

–  in Kenntnis der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses vom 22. Mai 2013(1) ,

–  unter Hinweis auf seine Entschließung vom 12. September 2013 mit dem Titel „Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum“(2) ,

–  gestützt auf Artikel 55 seiner Geschäftsordnung,

–  in Kenntnis des Berichts des Ausschusses für Binnenmarkt und Verbraucherschutz sowie der Stellungnahmen des Ausschusses für Industrie, Forschung und Energie, des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und des Ausschusses für auswärtige Angelegenheiten (A7‑0103/2014),

1.  legt den folgenden Standpunkt in erster Lesung fest;

2.  fordert die Kommission auf, es erneut zu befassen, falls sie beabsichtigt, ihren Vorschlag entscheidend zu ändern oder durch einen anderen Text zu ersetzen;

3.  beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

(1) ABl. C 271 vom 19.9.2013, S. 133. (2) Angenommene Texte, P7_TA(2013)0376.

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses(1) ,

gemäß dem ordentlichen Gesetzgebungsverfahren(2) ,

in Erwägung nachstehender Gründe:

(1)  Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Freiheit und die allgemeine Sicherheit der Bürgerinnen und Bürger der Union, für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind. [Abänd. 1]

(2)  Die Tragweite, und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Diese Systeme können auch zu einem leichten Angriffsziel vorsätzlich schädigender Handlungen werden, die auf die Störung oder den Ausfall des Betriebs der Systeme gerichtet sind. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer und Investoren untergraben und der Wirtschaft der Union großen Schaden zufügen und letztendlich das Wohlergehen der Bürger der Union sowie die Fähigkeit der Mitgliedstaaten, sich selbst zu schützen und für den Schutz der kritischen Infrastruktur zu sorgen, gefährden . [Abänd. 2]

(3)  Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts.

(3a)  Da Systemausfällen nach wie vor in der Regel keine Absicht zugrunde liegt und sie beispielsweise auf natürliche Ursachen oder menschliches Versagen zurückzuführen sind, sollte die Infrastruktur sowohl vorsätzlichen als auch unbeabsichtigten Störungen standhalten, und die Betreiber kritischer Infrastrukturen sollten robuste Systeme konstruieren. [Abänd. 3]

(4)  Auf Unionsebene sollte ein Kooperationsmechanismus eingerichtet werden, der den Informationsaustausch sowie eine koordinierte Präventions-, Erkennungs- und Reaktionsfähigkeit im Bereich der Netz- und Informationssicherheit (im Folgenden „NIS“) ermöglicht. Damit ein solcher Mechanismus wirksam sein kann und alle Beteiligten einbezogen werden, muss jeder Mitgliedstaat über Mindestkapazitäten und eine Strategie verfügen, durch die in seinem Hoheitsgebiet eine hohe NIS gewährleisten. Zur Förderung einer Risikomanagementkultur gesorgt ist . Damit das Risikomanagement stärker in die Denk- und Verhaltensweisen integriert wird und um sicherzustellen, dass die gravierendsten Sicherheitsvorfälle tatsächlich gemeldet werden, sollten Mindestsicherheitsanforderungen zumindest auch für bestimmte Marktteilnehmer im Bereich öffentliche Verwaltungen und Betreiber kritischer Informationsinfrastrukturen gelten. Börsennotierten Unternehmen sollte nahegelegt werden, Sicherheitsvorfälle freiwillig in ihren Finanzberichten zu veröffentlichen. Der Rechtsrahmen sollte darauf beruhen, dass die Privatsphäre und Integrität der Bürger geschützt werden müssen. Das Warn- und Informationsnetz für kritische Infrastrukturen (WINKI) sollte auf Marktteilnehmer, die unter diese Richtlinie fallen, ausgeweitet werden. [Abänd. 4]

(4a)  Während die öffentlichen Verwaltungen aufgrund ihres öffentlichen Auftrags gebührende Sorgfalt beim Betrieb und Schutz ihrer Netze und Informationssysteme walten lassen sollten, sollte der Schwerpunkt dieser Richtlinie auf kritischen Infrastrukturen liegen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen und Gesundheit unbedingt erforderlich sind. Diese Richtlinie sollte nicht für Softwareentwickler und Hardwarehersteller gelten. [Abänd. 5]

(4b)  Die Zusammenarbeit und Abstimmung der einschlägigen Stellen der Union mit der Hohen Vertreterin und Vizepräsidentin mit Zuständigkeit für die Gemeinsame Außen- und Sicherheitspolitik und die Gemeinsame Sicherheits- und Verteidigungspolitik sowie mit dem EU-Koordinator für die Terrorismusbekämpfung sollten in den Fällen sichergestellt werden, in denen Sicherheitsvorfälle mit erheblichen Auswirkungen als äußere Gefährdung oder Terrorgefahr eingestuft werden. [Abänd. 6]

(5)  Um alle einschlägigen Sicherheitsvorfälle und ‑risiken abdecken zu können, sollte diese Richtlinie für alle Netze und Informationssysteme gelten. Die den öffentlichen Verwaltungen und den Marktteilnehmern auferlegten Verpflichtungen sollten hingegen nicht für Unternehmen gelten, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste im Sinne der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates(3) bereitstellen und die den besonderen Sicherheits‑ und Integritätsanforderungen des Artikels 13a der Richtlinie unterliegen; die Verpflichtungen sollten auch nicht für Vertrauensdiensteanbieter gelten.

(6)  Die bestehenden Kapazitäten reichen nicht aus, um eine hohe NIS in der Union zu gewährleisten. Aufgrund des sehr unterschiedlichen Niveaus der Abwehrbereitschaft verfolgen die Mitgliedstaaten uneinheitliche Ansätze innerhalb der Union. Dies führt dazu, dass Verbraucher und Unternehmen ein unterschiedliches Schutzniveau genießen und die NIS in der Union generell untergraben wird. Wegen fehlender gemeinsamer Mindestanforderungen für öffentliche Verwaltungen und Marktteilnehmer kann wiederum kein umfassender, wirksamer Mechanismus für die Zusammenarbeit auf Unionsebene geschaffen werden. Universitäten und Forschungszentren spielen eine zentrale Rolle, wenn es darum geht, Forschung, Entwicklung und Innovationen in diesen Bereichen voranzutreiben, und sollten mit angemessenen Finanzmitteln ausgestattet werden. [Abänd. 7]

(7)  Um wirksam auf die Herausforderungen im Bereich der Sicherheit von Netzen und Informationssystemen reagieren zu können, ist deshalb ein umfassender Ansatz auf Unionsebene erforderlich, der gemeinsame Mindestanforderungen für Kapazitätsaufbau und ‑planung, die Entwicklung ausreichender Kompetenzen auf dem Gebiet der Cybersicherheit, Informationsaustausch, Maßnahmenkoordinierung sowie gemeinsame Mindestsicherheitsanforderungen für alle betroffenen Marktteilnehmer und öffentlichen Verwaltungen beinhaltet. enthält . In Übereinstimmung mit den einschlägigen Empfehlungen der Koordinierungsgruppe für die Cybersicherheit (CSGC) sollten gemeinsame Mindestnormen angewendet werden. [Abänd. 8]

(8)  Die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, bleibt von den Bestimmungen dieser Richtlinie unberührt. Nach Artikel 346 des Vertrags über die Arbeitsweiser der Europäischen Union (AEUV) ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seines Erachtens seinen wesentlichen Sicherheitsinteressen widerspricht. Kein Mitgliedstaat ist verpflichtet, Informationen offenzulegen, die nach dem Beschluss 2011/292/EU des Rates (4) als EU-Verschlusssachen eingestuft sind bzw. unter Geheimhaltungsvereinbarungen oder informelle Geheimhaltungsvereinbarungen wie das sogenannte Traffic Light Protocol fallen. [Abänd. 9]

(9)  Um eine hohe gemeinsame Netz‑ und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen auf der Grundlage der in dieser Richtlinie festgelegten Mindestanforderungen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dass sodass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht, wobei die Privatsphäre und personenbezogene Daten geachtet und geschützt werden . Die Mitgliedstaaten sollten daher zur Einhaltung gemeinsamer Normen im Hinblick auf das Datenformat und die Austauschbarkeit der gemeinsam zu nutzenden und zu bewertenden Daten verpflichtet werden. Die Mitgliedstaaten sollten die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien auf der Grundlage eines gemeinsamen Entwurfs von Mindestanforderungen an NIS-Strategien ersuchen können . [Abänd. 10]

(10)  Zur effektiven Umsetzung der Bestimmungen dieser Richtlinie sollte in jedem Mitgliedstaat eine für die Koordinierung in Sachen NIS zuständige Stelle geschaffen oder auf Unionsebene benannt werden, die für die Zwecke der grenzübergreifenden Zusammenarbeit als Anlaufstelle dient. Diese Stellen sollten mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sein, um die ihnen übertragenen Aufgaben wirksam und effizient erfüllen und somit die Ziele dieser Richtlinie erreichen zu können.

(10a)  Die Mitgliedstaaten sollten wegen der Unterschiede zwischen ihren Verwaltungsstrukturen und mit dem Ziel, dass bereits geltende sektorbezogene Vereinbarungen beibehalten werden bzw. bereits eingerichtete Aufsichts- und Regulierungsstellen der Union fortbestehen können und dass keine Doppelungen entstehen, mehrere nationale zuständige Behörden benennen können, die im Rahmen dieser Richtlinie Aufgaben im Zusammenhang mit der Netz- und Informationssicherheit von Marktteilnehmern wahrnehmen. Im Interesse der reibungslosen länderübergreifenden Zusammenarbeit und Kommunikation ist es allerdings notwendig, dass jeder Mitgliedstaat unbeschadet der sektorbezogenen Vereinbarungen nur eine nationale zentrale Anlaufstelle mit Zuständigkeit für die länderübergreifende Zusammenarbeit auf Unionsebene benennt. Ein Mitgliedstaat sollte auch – sofern es verfassungsmäßig oder aufgrund anderer Vereinbarungen erforderlich ist – befugt sein, nur eine Behörde zu benennen, die die Aufgaben der zuständigen Behörde und der zentralen Anlaufstelle wahrnimmt. Die zuständigen Behörden und die zentralen Anlaufstellen sollten zivile Stellen sein, die der vollständigen demokratischen Kontrolle unterliegen, und sie sollten weder Aufgaben in den Bereichen Geheimdienst, Strafverfolgung oder Verteidigung wahrnehmen noch organisatorisch in irgendeiner Form mit in diesen Bereichen tätigen Stellen verbunden sein. [Abänd. 11]

(11)  Alle Mitgliedstaaten und Marktteilnehmer sollten über angemessene technische und organisatorische Kapazitäten verfügen, um die Prävention, Erkennung, Reaktion und Folgenminderung bei NIS-Vorfällen und ‑Risiken gewährleisten jederzeit durchführen zu können. Die Sicherheitssysteme in der öffentlichen Verwaltung sollten sicher sein und der demokratischen Kontrolle und Prüfung unterliegen. Die allgemein erforderlichen Geräte und Kapazitäten sollten den gemeinsam vereinbarten technischen Normen sowie Standardverfahren entsprechen. Dafür sollten im Einklang mit den grundlegenden Anforderungen in allen Mitgliedstaaten gut funktionierende IT-Notfallteams (Computer Emergency Response Teams, CERTs ) eingerichtet werden, damit wirksame und geeignete Kapazitäten geschaffen werden, die in der Lage sind, Sicherheitsvorfälle und ‑risiken zu bewältigen und für eine effiziente Zusammenarbeit auf Unionsebene zu gewährleisten sorgen . Diese CERTs sollten in die Lage versetzt werden, auf der Grundlage gemeinsamer technischer Normen und Standardverfahren zu interagieren. Da die bestehenden CERTs, die für die einzelnen subjektiven Bedürfnisse und Akteure zuständig sind, unterschiedliche Merkmale aufweisen, sollten die Mitgliedstaaten sicherstellen, dass jedem der in dieser Richtlinie genannten Sektoren von mindestens einem CERT Dienstleistungen angeboten werden. In Bezug auf die länderübergreifende CERT-Zusammenarbeit sollten die Mitgliedstaaten sicherstellen, dass die CERTs über hinreichende Mittel verfügen, um an den auf internationaler Ebene und in der Union vorhandenen Kooperationsnetzen mitzuwirken . [Abänd. 12]

(12)  Auf der Grundlage der beträchtlichen Fortschritte, die im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS) zur Förderung von Gesprächen und des Austauschs bewährter Vorgehensweisen Verfahren , u. a. zur Entwicklung von Grundsätzen für die europäische Zusammenarbeit bei Cyberkrisen, erzielt worden sind, sollten die Mitgliedstaaten und die Kommission ein Netz bilden, um eine kontinuierliche Kommunikation herzustellen und ihre Zusammenarbeit auszubauen. Dieser sichere Über diesen sicheren und wirksame wirksamen Kooperationsmechanismus, sollte den Austausch von Informationen sowie die Erkennung und Bewältigung von Sicherheitsvorfällen an dem, falls angezeigt, auch die Marktteilnehmer mitwirken, sollten Informationen ausgetauscht sowie Sicherheitsvorfälle in strukturierter, abgestimmter Weise auf Unionsebene ermöglichen erkannt und bewältigt werden . [Abänd. 13]

(13)  Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) sollte die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen. Insbesondere sollte sollten die Kommission und die Mitgliedstaaten die ENISA bei der Anwendung dieser Richtlinie zu Rate ziehen. Damit sichergestellt ist, dass die Mitgliedstaaten und die Kommission tatsächlich und rechtzeitig informiert werden, sollten Frühwarnungen vor Sicherheitsvorfällen und ‑risiken über das Kooperationsnetz ausgegeben werden. Um Kapazitäten und Fachwissen unter den Mitgliedstaaten aufbauen zu können, sollte das Kooperationsnetz auch als Mittel für den Austausch bewährter Verfahren dienen und damit seinen Mitgliedern beim Kapazitätsaufbau helfen sowie die Organisation von gegenseitigen Überprüfungen und NIS-Übungen leiten. [Abänd. 14]

(13a)  Bei der Umsetzung dieser Richtlinie sollten die Mitgliedstaaten bestehende Organisationsstrukturen, falls vorhanden, nutzen oder anpassen können. [Abänd. 15]

(14)  Es sollte eine sichere Infrastruktur für den Informationsaustausch errichtet werden, damit sensible und vertrauliche Informationen über das Kooperationsnetz übermittelt werden können. In der Union bestehende Strukturen sollten in vollem Umfang zu diesem Zweck genutzt werden. Unbeschadet der Verpflichtung der Mitgliedstaaten, dem Kooperationsnetz Sicherheitsvorfälle und ‑risiken von unionsweiter Bedeutung zu melden, sollte der Zugang zu vertraulichen Informationen anderer Mitgliedstaaten nur gewährt werden, wenn diese nachweisen können, dass durch ihre technischen, finanziellen und personellen Ressourcen und Verfahren sowie ihre Kommunikationsinfrastruktur sichergestellt ist, dass sie in wirksamer, effizienter und sicherer Weise an der Arbeit des Netzes teilnehmen können und dabei transparente Verfahren anwenden . [Abänd. 16]

(15)  Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und untereinander Informationen und bewährte Verfahren austauschen, einschließlich des gegenseitigen Austauschs relevanter Informationen und im Gegenzug operative operativer Unterstützung sowie strategisch analysierte Informationen im Falle Fall von Sicherheitsvorfällen. erhalten . Zur wirksamen Unterstützung des Austauschs von Informationen und bewährten Verfahren muss unbedingt sichergestellt werden, dass Marktteilnehmer, die an einem solchen Austausch beteiligt sind, keine Benachteiligung aufgrund ihrer Zusammenarbeit erfahren. Durch angemessene Sicherheitsvorkehrungen sollte sichergestellt werden, dass eine solche Zusammenarbeit für diese Betreiber gemäß den Rechtsvorschriften, beispielsweise über den Wettbewerb, das geistige Eigentum, den Datenschutz oder die Cyberkriminalität, nicht mit einem erhöhten Risiko von Verstößen einhergeht oder dass ihnen daraus keine neue Haftung erwächst und dass diese Zusammenarbeit für sie auch nicht mit höheren operativen oder sicherheitstechnischen Risiken verbunden ist. [Abänd. 17]

(16)  Um für Transparenz zu gewährleisten sorgen und die Bürger und Marktteilnehmer der EU Union angemessen zu informieren, sollten die zuständigen Behörden zentralen Anlaufstellen eine gemeinsame unionsweite Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und ‑risiken, Möglichkeiten der Risikobegrenzung und, falls notwendig, zur Bereitstellung von Empfehlungen zu geeigneten Wartungsmaßnahmen einrichten. Die Informationen auf dieser Website sollten geräteunabhängig zugänglich sein. Die auf dieser Website veröffentlichten personenbezogenen Daten sollten auf das Notwendige beschränkt und so anonym wie möglich sein. [Abänd. 18]

(17)  Werden die betreffenden Informationen nach Vorschriften der EU und der Mitgliedstaaten über das Geschäftsgeheimnis als vertraulich eingestuft, ist deren Vertraulichkeit bei den in dieser Richtlinie vorgesehenen Tätigkeiten und bei der Erreichung der darin gesetzten Ziele sicherzustellen.

(18)  Die Kommission und die Mitgliedstaaten sollten auf der Grundlage nationaler Erfahrungen im Krisenmanagement in Zusammenarbeit mit der ENISA einen NIS-Kooperationsplan der Union ausarbeiten, in dem Kooperationsmechanismen, bewährte Verfahren und Verfahrensmuster zur Prävention, Entdeckung, Meldung und Bewältigung von Sicherheitsrisiken und ‑vorfällen festgelegt werden. Diesem Plan sollte bei Frühwarnungen über das Kooperationsnetz angemessen Rechnung getragen werden. [Abänd. 19]

(19)  Eine Verpflichtung zur Herausgabe einer Frühwarnung über das Netz sollte nur bestehen, wenn Tragweite und Schwere des Sicherheitsvorfalls oder betreffenden ‑risikos so erheblich sind oder werden können, dass ein Informationsaustausch oder eine Koordinierung der Reaktion auf Unionsebene erforderlich ist. Frühwarnungen sollten deshalb auf diejenigen tatsächlichen oder potenziellen Sicherheitsvorfälle und ‑risiken beschränkt bleiben, die sich rasch ausweiten, nationale Reaktionskapazitäten überschreiten oder mehr als einen Mitgliedstaat betreffen. Um eine angemessene Bewertung zu ermöglichen, sollten dem Kooperationsnetz alle für die Beurteilung des Sicherheitsrisikos oder ‑vorfalls erheblichen Informationen mitgeteilt werden. [Abänd. 20]

(20)  Bei Eingang einer Frühwarnung und bei deren Bewertung sollten sich die zuständigen Behörden zentralen Anlaufstellen auf eine koordinierte Reaktion nach dem NIS-Kooperationsplan der Union einigen. Die zuständigen Behörden zentralen Anlaufstellen, die ENISA und die Kommission sollten über die im Zuge der koordinierten Reaktion auf nationaler Ebene ergriffenen Maßnahmen informiert werden. [Abänd. 21]

(21)  Angesichts des globalen Charakters von NIS-Problemen bedarf es einer engeren internationalen Zusammenarbeit, damit die Sicherheitsstandards und der Informationsaustausch verbessert werden können und ein gemeinsames globales Konzept für NIS-Fragen gefördert werden kann. Der Rahmen für eine derartige internationale Zusammenarbeit sollte der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (5) und der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (6) unterliegen. [Abänd. 22]

(22)  Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollte eine Risikomanagementkultur sollten die Integration des Risikomanagements in die Denk- und Verhaltensweisen, enge Zusammenarbeit und Vertrauen gefördert und entwickelt weiterentwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollte sollten , die den jeweiligen Risiken und vorsätzlichen wie unbeabsichtigten Sicherheitsvorfällen angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, verlässliche gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist. [Abänd. 23]

(23)  Die Richtlinie 2002/21/EG sieht vor, dass Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste bereitstellen, angemessene Maßnahmen zum Schutz der Integrität und Sicherheit dieser Netze ergreifen müssen, und enthält eine Meldepflicht im Falle von Sicherheitsverletzungen und Integritätsverlust. Nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates(7) müssen Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit ihrer Dienste zu gewährleisten.

(24)  Diese Verpflichtungen sollten auf Betreiber von Infrastrukturen ausgeweitet werden, die stark von der Informations- und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom- und Gasversorgung, Verkehr, Kreditinstitute, Finanzmarktinfrastrukturen, Gesundheitswesen usw.) unbedingt notwendig sind. Durch eine Störung dieser Netze und Informationssysteme würde der Binnenmarkt beeinträchtigt. Während die in dieser Richtlinie festgelegten Verpflichtungen sollten nicht über den elektronischen Kommunikationssektor hinaus ausgeweitet werden auf wichtige Anbieter von Diensten der Informationsgesellschaft im Sinne der Richtlinie 98/34/EG des europäischen Europäischen Parlaments und des Rates(8) hinaus ausgeweitet werden sollte , auf die sich nachgelagerte Dienste der Informationsgesellschaft oder Online-Tätigkeiten wie Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste und im Allgemeinen oder Application Stores stützen, . Störungen dieser grundlegenden Dienste der Informationsgesellschaft verhindern die Erbringung anderer, darauf aufbauender Dienste der Informationsgesellschaft. Softwareentwickler und Hardwarehersteller sind keine Anbieter von Diensten der Informationsgesellschaft und sind deshalb ausgenommen. Die Verpflichtungen sollten auch auf öffentliche Verwaltungen und Betreiber kritischer Infrastrukturen ausgeweitet werden, die stark von der Informations‑ und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom‑ und Gasversorgung, Verkehr, Finanzinstitutionen, Börsen, Gesundheitswesen usw.) unerlässlich sind. Eine Störung dieser Netze und Informationssysteme würde den Binnenmarkt beeinträchtigen. könnten diese Anbieter auf freiwilliger Grundlage die zuständige Behörde oder die zentrale Anlaufstelle über die die Netzsicherheit betreffenden Vorfälle informieren, die sie für relevant halten . Die zuständige Behörde oder die zentrale Anlaufstelle sollte, wenn möglich, den Marktteilnehmern, die den Sicherheitsvorfall gemeldet haben, strategische, analysierte Informationen übermitteln, mit denen dazu beigetragen wird, die sicherheitsrelevante Bedrohung zu überwinden . [Abänd. 24]

(24a)  Zwar sind Hardware- und Softwareanbieter keine Marktteilnehmer, die mit denen vergleichbar sind, die unter diese Richtlinie fallen, doch begünstigen ihre Produkte die Sicherheit von Netzen und Informationssystemen. Ihnen kommt deshalb eine wichtige Aufgabe zu, wenn es darum geht, die Marktteilnehmer in die Lage zu versetzen, ihre Netz- und Informationsinfrastrukturen zu sichern. Da Hardware- und Softwareprodukte bereits den geltenden Produkthaftungsvorschriften unterliegen, sollten die Mitgliedstaaten Vorkehrungen dafür treffen, dass diese Vorschriften auch durchgesetzt werden. [Abänd. 25]

(25)  Zu den von öffentlichen Verwaltungen und Marktteilnehmern zu ergreifenden technischen und organisatorischen Maßnahmen sollte nicht die Verpflichtung gehören, bestimmte geschäftliche Informationen und Produkte der Kommunikationstechnik in bestimmter Weise zu konzipieren, zu entwickeln oder herzustellen. [Abänd. 26]

(26)  Öffentliche Verwaltungen und Die Marktteilnehmer sollten die Sicherheit der ihnen unterstehenden Netze und Systeme gewährleisten. Dabei handelt es sich hauptsächlich um private Netze und Systeme, die entweder von internem IT-Personal verwaltet werden oder deren Sicherheit Dritten anvertraut wurde. Die Verpflichtung zur Gewährleistung der Sicherheit und die Meldepflicht sollten für die einschlägigen Marktteilnehmer und öffentlichen Verwaltungen unabhängig davon gelten, ob sie ihre Netze und Informationssysteme intern warten oder diese Aufgabe ausgliedern. [Abänd. 27]

(27)  Damit keine unverhältnismäßige finanzielle und administrative Belastung für kleine Betreiber und Nutzer entsteht, sollten die Verpflichtungen in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz oder Informationssystem ausgesetzt ist; dabei wird dem bei solchen Maßnahmen geltenden neuesten Stand Rechnung getragen. Diese Bestimmungen sollten nicht für Kleinstunternehmen gelten.

(28)  Die zuständigen Behörden und die zentralen Anlaufstelle sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Die zuständigen Behörden und die zentralen Anlaufstellen sollten die Hersteller betroffener IKT-Produkte und die Anbieter betroffener IKT-Dienste über ihnen gemeldete Sicherheitsvorfälle mit erheblichen Auswirkungen benachrichtigen. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden und den zentralen Anlaufstellen gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle Sicherheitsvorfälle melden, entstehen kann. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden und die zentralen Anlaufstellen besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur Veröffentlichung Bereitstellung der entsprechenden Sicherheitsfixes streng vertraulich bleiben. Generell sollten die zentralen Anlaufstellen keine personenbezogenen Daten von natürlichen Personen offenlegen, die an Sicherheitsvorfällen beteiligt sind. Die zentralen Anlaufstellen sollten personenbezogene Daten nur dann offenlegen, wenn es im Hinblick auf den damit verfolgten Zweck notwendig und verhältnismäßig ist. [Abänd. 28]

(29)  Die zuständigen Behörden sollten mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein; sie sollten auch befugt sein, hinreichende Auskünfte von Marktteilnehmern und öffentlichen Verwaltungen einzuholen, damit sie die Sicherheit von Netzen und Informationssystemen beurteilen und die Anzahl, die Größenordnung und die Tragweite von Sicherheitsvorfällen bemessen können und über verlässliche, umfassende Daten über tatsächliche Sicherheitsvorfälle verfügen, die den Betrieb von Netzen und Informationssystemen beeinträchtigt haben. [Abänd. 29]

(30)  Häufig gehen Sicherheitsvorfälle auf kriminelle Handlungen zurück. Selbst wenn zunächst keine hinreichenden Beweise vorliegen, kann bei Sicherheitsvorfällen ein krimineller Hintergrund vermutet werden. In diesem Zusammenhang sollte eine sachgerechte Zusammenarbeit zwischen den zuständigen Behörden, den zentralen Anlaufstellen und den Strafverfolgungsbehörden sowie eine Zusammenarbeit mit dem EC3 (Europäisches Zentrum zur Bekämpfung der Cyberkriminalität) und der ENISA Bestandteil einer wirksamen, umfassenden Reaktion auf die Bedrohung durch Sicherheitsvorfälle sein. Die Förderung einer sicheren, robusteren Umgebung setzt insbesondere voraus, dass die Strafverfolgungsbehörden systematisch über Sicherheitsvorfälle mit mutmaßlich kriminellem Hintergrund Bericht informiert werden. Ob es sich um Sicherheitsvorfälle aufgrund schwerer Straftaten handelt, sollte nach dem Unionsrecht über Cyberkriminalität beurteilt werden. [Abänd. 30]

(31)  Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Die Mitgliedstaaten und Marktteilnehmer sollten gespeicherte, verarbeitete oder übermittelte Daten gegen zufällige oder rechtswidrige Zerstörung, zufälligen Verlust oder zufällige Änderung sowie gegen unbefugte oder rechtswidrige Speicherung, Offenlegung oder Verbreitung schützen; sie sollten darüber hinaus für die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten sorgen. Deshalb sollten die zuständigen Behörden die zentralen Anlaufstellen und die Datenschutzbehörden zusammenarbeiten und Informationen zu allen einschlägigen Fragen austauschen, falls angezeigt, auch mit den Marktteilnehmern, um derartigen Verletzungen des Schutzes personenbezogener Daten im Einklang mit den geltenden Datenschutzvorschriften zu begegnen. Die Mitgliedstaaten sollten die Meldepflicht bei Sicherheitsvorfällen sollte so umsetzen umgesetzt werden , dass der Verwaltungsaufwand bei Sicherheitsvorfällen, die gleichzeitig eine Verletzung des Schutzes personenbezogener Daten im Sinne der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (9) darstellen und gemäß den geltenden Datenschutzvorschriften der Union gemeldet werden müssen , so gering wie möglich gehalten wird. Über Kontakte mit den zuständigen Behörden und den Datenschutzbehörden könnte die ENISA Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch sowie Muster entwickelt, mit denen die Verwendung zweier verschiedener Muster für die Meldung von NIS-Vorfällen vermieden werden kann. Die ENISA sollte Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch und ein einziges Muster entwickelt, mit denen bzw. dem die Meldung anhand eines einzigen Musters wäre bei von Sicherheitsvorfällen, bei denen der Schutz personenbezogener Daten beeinträchtigt wurde, eine Vereinfachung vereinfacht und würde damit den der Verwaltungsaufwand für Unternehmen und öffentliche Verwaltungen verringern verringert würde . [Abänd. 31]

(32)  Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang auf freiwilliger Grundlage, der es Marktteilnehmern ermöglichen sollte, alternative Mittel einzusetzen, um mindestens ähnliche Ergebnisse zu erzielen . Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter interoperabler Normen fördern, damit für ein hohes Sicherheitsniveau auf Unionsebene gewährleistet wird gesorgt ist . Zu diesem Zweck sollte die Anwendung offener internationaler Normen für Netzinformationssicherheit oder die Konzipierung entsprechender Instrumente in Erwägung gezogen werden. Ein weiterer Schritt könnte es erforderlich sein darin bestehen , harmonisierte Normen auszuarbeiten; dies sollte nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates(10) geschehen. Insbesondere sollten das ETSI, das CEN und das CENELEC ermächtigt werden, wirkungsvolle und effiziente offene Sicherheitsstandards der Union zu empfehlen, bei denen so weit wie möglich keine technischen Voreinstellungen vorgenommen werden und die für kleine und mittelgroße Marktteilnehmer praktikabel sind. Internationale Standards über die Cybersicherheit sollten sehr sorgfältig geprüft werden, um sicherzustellen, dass bei ihnen keine Abstriche gemacht wurden und dass sie ein ausreichend hohes Sicherheitsniveau bieten und folglich dafür gesorgt ist, dass durch die gebotene Einhaltung der Cybersicherheitsstandards das Gesamtniveau der Cybersicherheit in der Union erhöht und nicht herabgesetzt wird. [Abänd. 32]

(33)  Die Kommission sollte diese Richtlinie regelmäßig in Abstimmung mit allen betroffenen Interessenträgern überprüfen, insbesondere um festzustellen, ob sie veränderten gesellschaftlichen, politischen, technischen oder Marktbedingungen anzupassen ist. [Abänd. 33]

(34)  Damit das Kooperationsnetz ungehindert arbeiten kann, sollte der Kommission nach Artikel 290 AEUV die Befugnis übertragen werden, Rechtsakte zur Festlegung der Kriterien, die ein Mitgliedstaat erfüllen muss, um zur Teilnahme am sicheren System in Bezug auf das Paket der gemeinsamen Verbindungs- und Sicherheitsstandards für die sichere Infrastruktur für den Informationsaustausch zugelassen zu werden, sowie der und zur weiteren Spezifikation für Auslöser von Frühwarnungen und der Festlegung der Umstände, in denen für Marktteilnehmer und öffentliche Verwaltungen die Meldepflicht gilt, zu erlassen. [Abänd. 34]

(35)  Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeiten angemessene Konsultationen – auch auf der Ebene von Sachverständigen – durchführt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission sicherstellen, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und ordnungsgemäß übermittelt werden.

(36)  Zur Gewährleistung einheitlicher Voraussetzungen Bedingungen für die Umsetzung dieser Richtlinie sollten der Kommission unbeschadet der Mechanismen der Zusammenarbeit auf nationaler Ebene Durchführungsbefugnisse in Bezug auf die Zusammenarbeit zwischen den zuständigen Behörden zentralen Anlaufstellen und der Kommission im Rahmen des Kooperationsnetzes, den Zugang zur sicheren Infrastruktur für den Informationsaustausch, den Zugang zur sicheren Infrastruktur für den Informationsaustausch, den NIS-Kooperationsplander Union und die Formen und Verfahren zur Information der Öffentlichkeit über Sicherheitsvorfälle und NIS-bezogene Normen und/oder technische Spezifikationen für die Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen übertragen werden. Diese Befugnisse sollten nach im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(11) , ausgeübt werden. [Abänd. 35]

(37)  Bei der Anwendung dieser Richtlinie sollte die Kommission gegebenenfalls mit den einschlägigen Ausschüssen und Einrichtungen auf Unionsebene, insbesondere denen der Bereiche elektronische Verwaltung, Energie, Verkehr, und Gesundheit und Verteidigung , in Kontakt stehen. [Abänd. 36]

(38)  Informationen, die nach den Vorschriften der Union und der Mitgliedstaaten über das Geschäftsgeheimnis von einer zuständigen Behörde oder einer zentralen Anlaufstelle als vertraulich eingestuft werden, sollten mit der Kommission, ihren einschlägigen Stellen, zentralen Anlaufstellen und/oder weiteren anderen zuständigen nationalen Behörden nur ausgetauscht werden, wenn sich dies für die Zwecke dieser Richtlinie als unbedingt erforderlich erweist. Der Informationsaustausch sollte im Umfang so begrenzt bleiben, dass er im Hinblick auf das verfolgte Ziel relevant, notwendig und angemessen ist und dass zuvor festgelegte Vertraulichkeits- und Sicherheitskriterien im Einklang mit dem Beschluss 2011/292/EU, Geheimhaltungsvereinbarungen und informellen Geheimhaltungsvereinbarungen wie dem sogenannten Traffic Light Protocol beachtet werden . [Abänd. 37]

(39)  Der Austausch von Informationen über Sicherheitsrisiken und ‑vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden oder zentralen Anlaufstellen kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte der Europäischen Union verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates(12) entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 erfolgen. [Abänd. 38]

(40)  Da das Ziel dieser Richtlinie, nämlich die Gewährleistung einer hohen Netz‑ und Informationssicherheit in der Union, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann sondern vielmehr wegen der Wirkung der Maßnahme auf Unionsebene besser zu verwirklichen ist, kann die Union in Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

(41)  Diese Richtlinie steht mit den in der Charta der Grundrechte der Europäischen Union anerkannten Grundrechten und Grundsätzen, insbesondere der Achtung des Privatlebens und der Kommunikation, der unternehmerischen Freiheit, dem Eigentumsrecht, dem Recht auf einen wirksamen Rechtsbehelf und dem Recht auf Anhörung im Einklang. Diese Richtlinie ist in Übereinstimmung mit diesen Rechten und Grundsätzen umzusetzen.

(41a)  Gemäß der gemeinsamen politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten vom 28. September 2011 haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen innerstaatlicher Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt. [Abänd. 39]

(41b)  Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat am 14. Juni 2013 eine Stellungnahme abgegeben(13) ,

HABEN FOLGENDE RICHTLINIE ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Geltungsbereich

(1)  Mit dieser Richtlinie werden Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit („NIS“) in der Union festgelegt.

(2)  Für diese Zwecke wird in der Richtlinie Folgendes festgelegt:

a)  für alle Mitgliedstaaten geltende Verpflichtungen hinsichtlich der Prävention, des Umgangs und der Reaktion in Bezug auf Sicherheitsrisiken und ‑vorfälle, die Netze und Informationssysteme beeinträchtigen;

b)  die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter und wirkungsvoller Weise mit Sicherheitsrisiken und ‑vorfällen, durch die Netze und Informationssysteme beeinträchtigen, beeinträchtigt werden , unter Mitwirkung der Betroffenen umgegangen bzw. darauf reagiert werden kann; [Abänd. 40]

c)  die Festlegung von Sicherheitsvorschriften für Marktteilnehmer und öffentliche Verwaltungen . [Abänd. 41]

(3)  Die in Artikel 14 dieser Richtlinie vorgesehenen Sicherheitsanforderungen gelten weder für Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste im Sinne der Richtlinie 2002/21/EG bereitstellen und die die besonderen Sicherheits‑ und Integritätsanforderungen der Artikel 13a und 13b der genannten Richtlinie erfüllen müssen, noch für Vertrauensdiensteanbieter.

(4)  Das Unionsrecht über Cyberkriminalität sowie die Richtlinie 2008/114/EG des Rates(14) bleiben von dieser Richtlinie unberührt.

(5)  Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, die Richtlinie 2002/58/EG und die Verordnung (EG) Nr. 45/2001 bleiben von dieser Richtlinie ebenfalls unberührt. Die Nutzung personenbezogener Daten muss auf das für die Zwecke dieser Richtlinie absolut notwendige Mindestmaß beschränkt sein, und die Daten müssen so anonym wie möglich, wenn nicht gar vollständig anonym sein. [Abänd. 42]

(6)  Der Austausch von Informationen über das Kooperationsnetz nach Kapitel III und die Meldung von NIS-Vorfällen nach Artikel 14 können die Verarbeitung von personenbezogenen Daten erforderlich machen. Eine solche Verarbeitung personenbezogener Daten, die notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, wird von den Mitgliedstaaten nach Artikel 7 der Richtlinie 95/46/EG und der Richtlinie 2002/58/EG in ihrer in einzelstaatliches Recht umgesetzten Form genehmigt.

Artikel 1a

Schutz und Verarbeitung personenbezogener Daten

(1)  Die Verarbeitung personenbezogener Daten in den Mitgliedstaaten gemäß dieser Richtlinie erfolgt im Einklang mit den Richtlinien 95/46/EG und 2002/58/EG.

(2)  Die Verarbeitung personenbezogener Daten durch die Kommission und die ENISA gemäß dieser Richtlinie erfolgt im Einklang mit der Verordnung (EG) Nr. 45/2001.

(3)  Die Verarbeitung personenbezogener Daten durch das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität gemäß dieser Richtlinie erfolgt im Einklang mit dem Beschluss 2009/371/JI des Rates (15) .

(4)  Die Verarbeitung personenbezogener Daten erfolgt auf redliche und rechtmäßige Weise und wird auf das für die Zwecke der Datenverarbeitung absolut notwendige Mindestmaß beschränkt. Die personenbezogenen Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen höchstens so lange ermöglicht, wie es für die Realisierung des Verarbeitungszwecks erforderlich ist.

(5)  Die Meldung von Sicherheitsvorfällen gemäß Artikel 14 dieser Richtlinie lässt die Bestimmungen über die Meldepflicht bei Verstößen gegen den Schutz personenbezogener Daten nach Artikel 4 der Richtlinie 2002/58/EG und der Verordnung (EU) Nr. 611/2013 der Kommission (16) unberührt. [Abänd. 43]

Artikel 2

Mindestharmonisierung

Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten.

Artikel 3

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

(1)  „Netze und Informationssysteme“

a)  elektronische Kommunikationsnetze im Sinne der Richtlinie 2002/21/EG,

b)  Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten digitaler Daten durchführen sowie [Abänd. 44]

c)  Computerdaten digitale Daten , die von den in Buchstaben a und b genannten Elementen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden; [Abänd. 45]

(2)  „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind der Ausdruck „Sicherheit“ bezeichnet auch technische Geräte, Lösungen und Betriebsabläufe, mit denen sichergestellt wird, dass die in dieser Richtlinie festgelegten Sicherheitsanforderungen erfüllt werden ; [Abänd. 46]

(3)  „Sicherheitsrisiko“ alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse, die potenziell negative Auswirkungen auf die Sicherheit haben; [Abänd. 47]

(4)  „Sicherheitsvorfälle“ alle Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben; [Abänd. 48]

(5)  „Dienst der Informationsgesellschaft“ einen Dienst im Sinne der Nummer 2 des Artikels 1 der Richtlinie 98/34/EG; [Abänd. 49]

(6)  „NIS-Kooperationsplan“ einen Plan zur Einrichtung eines Rahmens für organisatorische Aufgaben, Zuständigkeiten und Verfahren, die der Aufrechterhaltung oder Wiederherstellung des Betriebs von Netzen und Informationssystemen dienen, die durch Sicherheitsrisiken oder ‑vorfällen beeinträchtigt wurden;

(7)  „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Erkennung, Prävention, Analyse, Eindämmung und Reaktion im Falle Fall von Sicherheitsvorfällen; [Abänd. 50]

(8)  „Marktteilnehmer“

a)  Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen; Anhang II enthält eine nicht erschöpfende Liste solcher Anbieter; [Abänd. 51]

b)  Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen Finanzmarktinfrastrukturen, Internet-Knoten, Lebensmittelversorgungskette und Gesundheit unerlässlich sind und deren Unterbrechung oder Zerstörung mit dem Ergebnis, dass ihre Funktionsfähigkeit nicht aufrechterhalten werden kann, in einem Mitgliedstaat erhebliche Folgen hätte ; soweit die betroffenen Netze und Informationssysteme mit den Kerndiensten im Zusammenhang stehen, enthält ; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber; [Abänd. 52]

(8a)  „Sicherheitsvorfall mit beträchtlichen Auswirkungen“ einen Sicherheitsvorfall, der die Sicherheit und Kontinuität eines Informationsnetzes oder ‑systems so stark beeinträchtigt, dass es zu erheblichen Störungen zentraler wirtschaftlicher und gesellschaftlicher Funktionen kommt; [Abänd. 53]

(9)  „Norm“ eine Norm nach der Verordnung (EU) Nr. 1025/2012;

(10)  „Spezifikation“ eine Spezifikation nach der Verordnung (EU) Nr. 1025/2012;

(11)  „Vertrauensdiensteanbieter“ eine natürliche oder juristische Person, die elektronische Dienste bereitstellt, die die Erstellung, Überprüfung, Validierung, Handhabung und Bewahrung elektronischer Signaturen, elektronischer Siegel, elektronischer Zeitstempel, elektronischer Dokumente, elektronischer Zustelldienste, der Website-Authentifizierung und elektronischer Zertifikate einschließlich der Zertifikate für elektronische Signaturen und elektronische Siegel beinhalten.

(11a)  „geregelter Markt“ einen Markt im Sinne von Artikel 4 Absatz 1 Nummer 14 der Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates (17) [Abänd. 54]

(11b)  „multilaterales Handelssystem (MTF)“ ein multilaterales Handelssystem im Sinne von Artikel 4 Absatz 1 Nummer 15 der Richtlinie 2004/39/EG; [Abänd. 55]

(11c)  „organisiertes Handelssystem“ (OTF) ein/eine von einer Wertpapierfirma oder einem Marktbetreiber betriebenes multilaterales System oder betriebene multilaterale Fazilität, bei dem/der es sich nicht um einen geregelten Markt oder ein multilaterales Handelssystem oder eine zentrale Gegenpartei handelt und das/die die Interessen einer Vielzahl Dritter am Kauf und Verkauf von Schuldverschreibungen, strukturierten Finanzprodukten, Emissionszertifikaten oder Derivaten innerhalb des Systems in einer Weise zusammenführt, die zu einem Vertrag gemäß Titel II der Richtlinie 2004/39/EG führt; [Abänd. 56]

KAPITEL II

NATIONALER RAHMEN FÜR DIE NETZ‑ UND INFORMATIONSSICHERHEIT

Artikel 4

Grundsatz

Die Mitgliedstaaten gewährleisten in Übereinstimmung mit dieser Richtlinie eine hohe Netz‑ und Informationssicherheit in ihren Hoheitsgebieten.

Artikel 5

Nationale NIS-Strategie und nationaler NIS-Kooperationsplan

(1)  Jeder Mitgliedstaat nimmt eine nationale NIS-Strategie an, die die strategischen Ziele und konkreten politischen und Regulierungsmaßnahmen enthält, mit denen eine hohe Netz‑ und Informationssicherheit erreicht und aufrechterhalten werden soll. Gegenstand der nationalen NIS-Strategie sind insbesondere die folgenden Aspekte:

a)  die Festlegung der Ziele und Prioritäten der Strategie auf der Grundlage einer aktuellen Analyse der Sicherheitsrisiken und ‑vorfälle;

b)  ein Steuerungsrahmen zur Erreichung der strategischen Ziele und Prioritäten, einschließlich einer klaren Festlegung der Aufgaben und Zuständigkeiten der staatlichen Stellen und der anderen einschlägigen Akteure;

c)  die Bestimmung allgemeiner Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung mit Mechanismen für die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor;

d)  die Aufstellung von Ausbildungs‑, Aufklärungs‑ und Schulungsprogrammen;

e)  Forschungs- und Entwicklungspläne und eine Darlegung, wie diese Pläne die Prioritäten widerspiegeln.

ea)  Die Mitgliedstaaten können die ENISA um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien und ihrer nationalen NIS-Kooperationspläne auf der Grundlage gemeinsamer Mindestanforderungen an NIS-Strategien ersuchen. [Abänd. 57]

(2)  Die nationale NIS-Strategie umfasst einen nationalen NIS-Kooperationsplan, der mindestens die folgenden Elemente enthält:

a)  einen Risikobewertungsplan Rahmen für das Risikomanagement im Hinblick auf die Ausarbeitung von Methoden zur Bestimmung der Risiken Ermittlung, Priorisierung, Evaluierung und zur Behandlung von Risiken, die Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle, Präventions- und Kontrollmöglichkeiten sowie auf die Festlegung von Kriterien für die Auswahl möglicher Gegenmaßnahmen ; [Abänd. 58]

b)  Festlegung der Aufgaben und Zuständigkeiten der verschiedenen Behörden und anderen Akteure, die an der Umsetzung des Plans Beteiligten Rahmens beteiligt sind ; [Abänd. 59]

c)  die Festlegung von Kooperations‑ und Kommunikationsabläufen zur Gewährleistung der Prävention, Erkennung, Reaktion, Reparatur und Wiederherstellung, die je nach Alarmstufe angepasst werden;

d)  einen Fahrplan für NIS-Übungen und ‑Schulungen zur Verbesserung, Validierung und Erprobung des Plans. Neue Erkenntnisse werden dokumentiert und bei Aktualisierungen in den Plan aufgenommen.

(3)  Die nationale NIS-Strategie und der nationale NIS-Kooperationsplan werden der Kommission innerhalb eines Monats von drei Monaten nach ihrer Annahme mitgeteilt. [Abänd. 60]

Artikel 6

Für die Netz‑ und Informationssicherheit zuständige nationale Behörde Behörden und zentrale Anlaufstellen [Abänd. 61]

(1)  Jeder Mitgliedstaat benennt eine oder mehrere zivile, für die Netz- und Informationssicherheit zuständige nationale Behörde Behörden („zuständige Behörde Behörden “). [Abänd. 62]

(2)  Die zuständigen Behörden überwachen die Anwendung dieser Richtlinie auf nationaler Ebene und tragen zu ihrer einheitlichen Anwendung in der Union bei.

(2a)  Benennt ein Mitgliedstaat mehr als eine zuständige Behörde, so benennt er eine zivile nationale Behörde, beispielsweise eine zuständige Behörde, als nationale zentrale Anlaufstelle für die Netz- und Informationssicherheit („zentrale Anlaufstelle“). Benennt ein Mitgliedstaat nur eine zuständige Behörde, so ist diese zuständige Behörde auch die zentrale Anlaufstelle. [Abänd. 63]

(2b)  Die zuständigen Behörden und die zentrale Anlaufstelle eines Mitgliedstaats arbeiten im Hinblick auf die Verpflichtungen gemäß dieser Richtlinie eng zusammen. [Abänd. 64]

(2c)  Die zentrale Anlaufstelle sorgt für die länderübergreifende Zusammenarbeit mit anderen zentralen Anlaufstellen. [Abänd. 65]

(3)  Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sind, damit sie die ihnen übertragenen Aufgaben wirksam und effizient wahrnehmen und die Ziele dieser Richtlinie erreicht werden. Die Mitgliedstaaten stellen eine wirksame, effiziente und sichere Zusammenarbeit der zuständigen Behörden zentralen Anlaufstellen über das in Artikel 8 genannte Netz sicher. [Abänd. 66]

(4)  Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden von öffentlichen Verwaltungen die zentralen Anlaufstellen, falls im Sinne von Artikel 2a vorhanden, von den und Marktteilnehmern die Meldungen der Sicherheitsvorfälle nach Artikel 14 Absatz 2 erhalten und ihnen die in Artikel 15 genannten Durchführungs‑ und Durchsetzungsbefugnisse eingeräumt werden. [Abänd. 67]

(4a)  Sehen die Unionsrechtsvorschriften eine sektorbezogene Aufsichts- oder Regulierungsstelle der Union vor, beispielsweise zur Netz- und Informationssicherheit, so werden dieser Stelle Sicherheitsvorfälle im Sinne von Artikel 14 Absatz 2 von den betroffenen Marktteilnehmern des jeweiligen Sektors gemeldet und Umsetzungs- und Durchsetzungsbefugnisse nach Artikel 15 eingeräumt. Diese Stelle der Union arbeitet im Hinblick auf diese Verpflichtungen eng mit den zuständigen Behörden und der zentralen Anlaufstelle des Aufnahmestaats zusammen. Die zentrale Anlaufstelle des Aufnahmestaats vertritt die Stelle der Union im Zusammenhang mit den Verpflichtungen gemäß Kapitel III. [Abänd. 68]

(5)  Die zuständigen Behörden und die zentralen Anlaufstellen konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen. [Abänd. 69]

(6)  Die Mitgliedstaaten teilen der Kommission unverzüglich die Benennung der zuständigen Behörde Behörden und der zentralen Anlaufstelle , deren Aufgaben sowie etwaige spätere Änderungen mit. Die Mitgliedstaaten machen die Benennung der zuständigen Behörde Behörden öffentlich bekannt. [Abänd. 70]

Artikel 7

IT-Notfallteam

(1)  Jeder Mitgliedstaat richtet mindestens ein IT-Notfallteam (Computer Emergency Response Team, „CERT“) für jeden in Anhang II genannten Bereich ein, das für die Bewältigung von Sicherheitsvorfällen und ‑risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden. [Abänd. 71]

(2)  Die Mitgliedstaaten gewährleisten, dass die CERTs technisch, finanziell und personell angemessen ausgestattet sind, um ihre in Anhang I Nummer 2 aufgeführten Aufgaben wirksam wahrnehmen zu können.

(3)  Die Mitgliedstaaten gewährleisten, dass sich die CERTs auf nationaler Ebene auf eine sichere, robuste Kommunikations‑ und Informationsinfrastruktur stützen, die mit dem in Artikel 9 genannten sicheren System für den Informationsaustausch kompatibel und interoperabel ist.

(4)  Die Mitgliedstaaten informieren die Kommission über die Ressourcen und den Auftrag der CERTs sowie über deren Verfahren zur Bewältigung von Sicherheitsvorfällen.

(5)  Das CERT untersteht Die CERTs unterstehen der Aufsicht der zuständigen Behörde oder der zentralen Anlaufstelle , die die Angemessenheit der ihm ihnen zur Verfügung gestellten Ressourcen, sein ihre Mandat und die Wirksamkeit seines ihrer Verfahren zur Bewältigung von Sicherheitsvorfällen regelmäßig überprüft. [Abänd. 72]

(5a)  Die Mitgliedstaaten stellen sicher, dass die CERTs mit angemessenen personellen und finanziellen Ressourcen ausgestattet sind, damit sie sich aktiv an internationalen Kooperationsnetzen und insbesondere Kooperationsnetzen der Union beteiligen können. [Abänd. 73]

(5b)  Die CERTs werden in die Lage versetzt und aufgefordert, gemeinsame Übungen mit bestimmten CERTs, mit allen CERTs der Mitgliedstaaten und mit entsprechenden Einrichtungen von Staaten außerhalb der Union sowie mit CERTs von multinationalen und internationalen Institutionen wie Nordatlantikvertragsorganisation und Vereinten Nationen zu initiieren und sich daran zu beteiligen. [Abänd. 74]

(5c)  Die Mitgliedstaaten können die ENISA oder andere Mitgliedstaaten um Unterstützung bei der Entwicklung ihrer nationalen CERTs ersuchen. [Abänd. 75]

KAPITEL III

ZUSAMMENARBEIT ZWISCHEN DEN ZUSTÄNDIGEN BEHÖRDEN

Artikel 8

Kooperationsnetz

(1)  Die zuständigen Behörden und zentralen Anlaufstellen, die Kommission und die ENISA bilden ein Netz („Kooperationsnetz“) für die Zusammenarbeit bei der Bewältigung von Sicherheitsrisiken und ‑vorfällen, die Netze und Informationssysteme betreffen. [Abänd. 76]

(2)  Die Kommission und die zuständigen Behörden zentralen Anlaufstellen stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage kann die Europäische Agentur für Netz- und Informationssicherheit (ENISA) das Kooperationsnetz mit Know-how und Beratung unterstützen. Die Marktteilnehmer und Anbieter von Cybersicherheitslösungen können, falls notwendig, auch aufgefordert werden, an den Aufgaben des Kooperationsnetzes nach Absatz 3 Buchstaben g und i mitzuwirken.

Das Kooperationsnetz arbeitet, falls notwendig, mit den Datenschutzbehörden zusammen.

Die Kommission informiert das Kooperationsnetz regelmäßig über die Sicherheitsforschung und andere entsprechende Programme von Horizont 2020. [Abänd. 77]

(3)  Die zuständigen Behörden zentralen Anlaufstellen haben innerhalb des Netzes folgende Aufgaben:

a)  Verbreitung von Frühwarnungen vor Sicherheitsrisiken und ‑vorfällen nach Artikel 10;

b)  Gewährleistung einer koordinierten Reaktion nach Artikel 11;

c)  regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

d)  auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

e)  auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;

f)  Zusammenarbeit und Informationsaustausch Austausch von Fachwissen in Bezug auf alle einschlägigen einschlägige Angelegenheiten der Netz- und Informationssicherheit, vor allem in den Bereichen Datenschutz, Energie, Verkehr, Banken, Finanzmärkte und Gesundheit, mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und Gesundheit EU-Einrichtungen

fa)  falls angezeigt, Übermittlung von Informationen an den EU-Koordinator für die Terrorismusbekämpfung in Form eines Berichts; sie können auch um Unterstützung bei Analysen, Vorbereitungstätigkeiten und Maßnahmen des Kooperationsnetzes ersuchen; ;

g)  Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

h)  Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;

i)  Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.

ia)  Einbeziehung, Konsultation und, falls notwendig, Informationsaustausch mit Marktteilnehmern, über Sicherheitsrisiken und -vorfälle, durch die deren Netze und Informationssysteme beeinträchtigt werden;

ib)  in Zusammenarbeit mit der ENISA die Ausarbeitung von Leitlinien für sektorbezogene Kriterien im Hinblick auf die Meldung von Sicherheitsvorfällen mit beträchtlichen Auswirkungen, zusätzlich zu den Parametern nach Artikel 14 Absatz 2, zur gemeinsamen Auslegung, konsequenten Anwendung und einheitliche Umsetzung innerhalb der Union. [Abänd. 78]

(3a)  Das Kooperationsnetz veröffentlicht einmal jährlich einen Bericht über die vorangegangenen 12 Monate, der sich auf seine Aufgaben bezieht und auf dem gemäß Artikel 14 Absatz 4 dieser Richtlinie vorgelegten zusammenfassenden Berichts beruht. [Abänd. 79]

(4)  Die Kommission legt mittels Durchführungsrechtsakten die erforderlichen Modalitäten für eine Erleichterung der in den Absätzen 2 und 3 genannten Zusammenarbeit zwischen den zuständigen Behörden und zentralen Anlaufstellen, der Kommission und der ENISA fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 2 genannten Konsultationsverfahren angenommen Prüfverfahren erlassen . [Abänd. 80]

Artikel 9

Sicheres System für den Informationsaustausch

(1)  Der Austausch sensibler und vertraulicher Informationen über das Kooperationsnetz erfolgt über eine sichere Infrastruktur.

(1a)  In allen Verarbeitungsphasen werden bei der Mitwirkung an der sicheren Infrastruktur unter anderem geeignete Vertraulichkeits- und Sicherheitsmaßnahmen gemäß der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 getroffen. [Abänd. 81]

(2)  Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, die die Festlegung von Kriterien im Hinblick auf nachstehende Aspekte betreffen, die ein Mitgliedstaat zu erfüllen hat, um für die Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden:

a)  die Verfügbarkeit einer sicheren, robusten Kommunikations‑ und Informationsinfrastruktur auf nationaler Ebene, die mit der sicheren Infrastruktur des Kooperationsnetzes nach Artikel 7 Absatz 3 kompatibel und interoperabel ist;

b)  die Verfügbarkeit adäquater technischer, finanzieller und personeller Ressourcen und Verfahren für die zuständigen Behörde und das CERT, durch die eine wirksame, effiziente und sichere Teilnahme am sicheren System für den Informationsaustausch nach Artikel 6 Absatz 3, Artikel 7 Absatz 2 und Artikel 7 Absatz 3 ermöglicht wird. [Abänd. 82]

(3)  Die Kommission erlässt nach den in den Absätzen 2 und 3 genannten Kriterien gemäß Artikel 18 mittels Durchführungsrechtsakten Beschlüsse über den Zugang der Mitgliedstaaten zu dieser sicheren Infrastruktur. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren erlassen. delegierter Rechtsakte ein Paket mit gemeinsamen Verbindungs- und Sicherheitsstandards, die zentrale Anlaufstellen erfüllen müssen, bevor sensible und vertrauliche Informationen über das Kooperationsnetz ausgetauscht werden. [Abänd. 83]

Artikel 10

Frühwarnungen

(1)  Die zuständigen Behörden zentralen Anlaufstellen oder die Kommission geben im Kooperationsnetz Frühwarnungen zu solchen Sicherheitsrisiken und ‑vorfällen aus, die mindestens eine der folgenden Voraussetzungen erfüllen:

a)  sie weiten sich rasch aus oder können sich rasch ausweiten;

b)  sie übersteigen die zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall die nationale Reaktionskapazität oder können diese übersteigen möglicherweise übersteigt ;

c)  sie betreffen oder können die zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall mehr als einen Mitgliedstaat betreffen betrifft . [Abänd. 84]

(2)  Bei Frühwarnungen stellen die zuständigen Behörden zentralen Anlaufstellen und die Kommission unverzüglich alle in ihrem Besitz befindlichen relevanten Informationen zur Verfügung, die für die Beurteilung der Sicherheitsrisiken oder ‑vorfälle von Nutzen sein können. [Abänd. 85]

(3)  Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante Informationen zu einem bestimmten Sicherheitsrisiko oder -vorfall vorzulegen. [Abänd. 86]

(4)  Hat das der Frühwarnung zugrundeliegende Sicherheitsrisiko bzw. oder der Sicherheitsvorfall, für das bzw. den eine Frühwarnung ausgegeben werden muss, mutmaßlich einen mutmaßlich kriminellen Hintergrund, informieren die zuständigen Behörden oder die Kommission und hat der betroffene Marktteilnehmer Sicherheitsvorfälle mit mutmaßlich schwerwiegendem kriminellem Hintergrund nach Artikel 15 Absatz 4 gemeldet, sorgen die Mitgliedstaaten dafür, dass gegebenenfalls das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität informiert wird . [Abänd. 87]

(4a)  Die Mitglieder des Kooperationsnetzes dürfen Informationen über Sicherheitsrisiken und -vorfälle im Sinne von Absatz 1 ohne vorherige Genehmigung der zentralen Anlaufstelle, die die Meldung übermittelt hat, nicht veröffentlichen.

Darüber hinaus informiert die zentrale Anlaufstelle, die die Meldung übermittelt, vor der Weitergabe von Informationen über das Kooperationsnetz den Marktteilnehmer, auf den sich die Maßnahme bezieht, und anonymisiert die entsprechenden Informationen, sofern sie es für notwendig erachtet. [Abänd. 88]

(4b)  Hat das Sicherheitsrisiko oder der Sicherheitsvorfall, für das bzw. den eine Frühwarnung ausgegeben werden muss, mutmaßlich einen schwerwiegenden länderübergreifenden technischen Hintergrund, informieren die zentralen Anlaufstellen oder die Kommission die ENISA. [Abänd. 89]

(5)  Die Kommission wird ermächtigt, delegierte Rechtsakte nach Artikel 18 zur Präzisierung der Sicherheitsrisiken und ‑vorfälle zu erlassen, die die in Absatz 1 dieses Artikels genannten Frühwarnungen auslösen.

Artikel 11

Koordinierte Reaktion

(1)  Im Anschluss an eine Frühwarnung nach Artikel 10 einigen sich die zuständigen Behörden zentralen Anlaufstellen unverzüglich nach einer Bewertung der einschlägigen Informationen auf eine koordinierte Reaktion gemäß dem in Artikel 12 genannten NIS-Kooperationsplan der Union. [Abänd. 90]

(2)  Die verschiedenen auf nationaler Ebene im Zuge der koordinierten Reaktion angenommenen Maßnahmen werden dem Kooperationsnetz mitgeteilt.

Artikel 12

NIS-Kooperationsplan der Union

(1)  Die Kommission wird ermächtigt, mittels Durchführungsrechtsakten einen NIS-Kooperationsplan der Union anzunehmen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

(2)  Der NIS-Kooperationsplan der Union sieht Folgendes vor:

a)  für die Zwecke des Artikels 10:

–  die Festlegung der Form und der Verfahren für die Einholung und den Austausch geeigneter und vergleichbarer Informationen über Sicherheitsrisiken und ‑vorfälle durch die zuständigen Behörden zentralen Anlaufstellen , [Abänd. 91]

–  die Festlegung der Verfahren und Kriterien zur Bewertung der Sicherheitsrisiken und ‑vorfälle durch das Kooperationsnetz.

b)  die für die koordinierte Reaktion nach Artikel 11 einzuhaltenden Verfahren, einschließlich der Aufgaben und Zuständigkeiten und der Kooperationsverfahren;

c)  einen Fahrplan für NIS-Übungen und ‑Schulungen zur Verbesserung, Validierung und Erprobung des Plans;

d)  ein Programm für den Wissenstransfer zwischen den Mitgliedstaaten im Hinblick auf den Kapazitätsaufbau und das gegenseitige Lernen;

e)  ein Programm zur Sensibilisierung und Schulung der Mitgliedstaaten untereinander.

(3)  Der NIS-Kooperationsplan wird spätestens ein Jahr nach dem Inkrafttreten dieser Richtlinie angenommen und regelmäßig überarbeitet. Über die Ergebnisse jeder Überarbeitung wird dem Europäischen Parlament Bericht erstattet. [Abänd. 92]

(3a)  Es wird dafür gesorgt, dass der NIS-Kooperationsplan der Union mit den nationalen NIS-Strategien und den nationalen NIS-Kooperationsplänen gemäß Absatz 5 im Einklang steht. [Abänd. 93]

Artikel 13

Internationale Zusammenarbeit

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Notwendigkeit eines angemessenen Schutzes Tatsache Rechnung getragen, dass die im Kooperationsnetz zirkulierenden personenbezogenen Daten angemessen geschützt werden müssen, und das Kontrollverfahren angegeben, das anzuwenden ist, um für den Schutz der im Kooperationsnetz zirkulierenden personenbezogenen Daten Rechnung getragen Sorge zu tragen . Das Europäische Parlament wird über die Aushandlung der Vereinbarungen unterrichtet. Die Übermittlung personenbezogener Daten an Empfänger in Ländern außerhalb der Union erfolgt nach Maßgabe der Artikel 25 und 26 der Richtlinie 95/46/EG und des Artikels 9 der Verordnung (EG) Nr. 45/2001 . [Abänd. 94]

Artikel 13a

Kritikalitätsstufe von Marktteilnehmern

Die Mitgliedstaaten können die Kritikalitätsstufe von Marktteilnehmern festlegen und berücksichtigen dabei die Besonderheiten der Sektoren, Parameter wie die Bedeutung des jeweiligen Marktteilnehmers für die Aufrechterhaltung des sektorbezogenen Diensts in ausreichendem Umfang, die Anzahl der Dienstempfänger des Marktteilnehmers und die Zeitspanne, ab deren Ablauf die Unterbrechung der Kerndienste des Marktteilnehmers negative Auswirkungen auf die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten hat. [Abänd. 95]

KAPITEL IV

SICHERHEIT DER NETZE UND INFORMATIONSSYSTEME DER ÖFFENTLICHEN VERWALTUNGEN UND DER MARKTTEILNEHMER

Artikel 14

Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen

(1)  Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen und die Marktteilnehmer geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen. Diese erkennen und konkret zu bewältigen . Mit diesen Maßnahmen müssen muss unter Berücksichtigung des Standes der Technik für ein Maß an Sicherheit gewährleisten gesorgt werden , das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihre die Sicherheit ihrer Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wird sichergestellt ist . [Abänd. 96]

(2)  Die Mitgliedstaaten gewährleisten sorgen dafür , dass öffentliche Verwaltungen und die Marktteilnehmer den der zuständigen Behörden Behörde oder der zentralen Anlaufstelle Sicherheitsvorfälle unverzüglich melden, die erhebliche Auswirkungen auf die Sicherheit Kontinuität der von ihnen bereitgestellten Kerndienste haben. Durch die Meldung entsteht der meldenden Partei keine höhere Haftung.

Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden unter anderem folgende Parameter herangezogen: [Abänd. 97]

a)   die Anzahl der Nutzer, deren Kerndienst betroffen ist; [Abänd. 98]

b)  die Dauer des Sicherheitsvorfalls; [Abänd. 99]

c)  die geografische Ausbreitung im Sinne des von dem Sicherheitsvorfall betroffenen Gebiets. [Abänd. 100]

Diese Parameter werden im Einklang mit Artikel 8 Absatz 3 Buchstabe ib genauer festgelegt. [Abänd. 101]

(2a)  Die Marktteilnehmer melden den zuständigen Behörden oder der zentralen Anlaufstelle des Mitgliedstaats, in dem ein Kerndienst betroffen ist, die in den Absätzen 1 und 2 genannten Sicherheitsvorfälle. Sind Kerndienste in mehreren Mitgliedstaaten betroffen, so warnt die zentrale Anlaufstelle, bei der die Meldung eingegangen ist, die anderen betroffenen zentralen Anlaufstellen und stützt sich dabei auf die vom Marktteilnehmer übermittelten Angaben. Der Marktteilnehmer wird unverzüglich davon in Kenntnis gesetzt, welche weiteren zentralen Anlaufstellen von dem Sicherheitsvorfall unterrichtet wurden, welche Maßnahmen eingeleitet wurden und zu welchen Ergebnissen dies geführt hat; darüber hinaus erhält er sämtliche Informationen, die für den Sicherheitsvorfall relevant sind. [Abänd. 102]

(2b)  Enthält die Meldung personenbezogene Daten, so dürfen sie nur Empfängern in der zuständigen Behörde oder zentralen Anlaufstelle offengelegt werden, bei der die Meldung eingegangen ist und die diese Daten verarbeiten müssen, um ihre Aufgaben im Einklang mit den Datenschutzvorschriften zu erfüllen. Offengelegt werden dürfen nur Daten, deren Offenlegung notwendig ist, damit die Aufgaben erfüllt werden können. [Abänd. 103]

(2c)  Marktteilnehmer, die in Anhang II nicht aufgeführt sind, können Sicherheitsvorfälle gemäß Artikel 14 Absatz 2 freiwillig melden. [Abänd. 104]

(3)  Die Absätze 1 und 2 gelten für alle Marktteilnehmer, die Dienste in der Europäischen Union bereitstellen.

(4)  Die zuständige Nach Konsultation der zuständigen Behörde, bei der eine Meldung eingegangen ist, und des betroffenen Marktteilnehmers kann die Öffentlichkeit unterrichten oder zentrale Anlaufstelle die öffentliche Verwaltung und die Marktteilnehmer zur Unterrichtung verpflichten, Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten , wenn sie zu dem Schluss gelangt, festlegt, dass die Bekanntmachung des Sicherheitsvorfalls im öffentlichen Interesse liegt. der Öffentlichkeit der Sachverhalt bekannt sein muss , damit weiteren Sicherheitsvorfällen vorgebeugt werden kann oder noch andauernde Sicherheitsvorfälle behandelt werden können, oder wenn ein von einem Sicherheitsvorfall betroffener Marktteilnehmer es abgelehnt hat, unverzüglich auf eine im Zusammenhang mit diesem Sicherheitsvorfall gravierende strukturelle Schwachstelle zu reagieren .

Vor der Bekanntmachung in der Öffentlichkeit muss die zuständige Behörde, bei der die Meldung eingegangen ist, dafür sorgen, dass der betroffene Marktteilnehmer angehört werden kann und dass der Beschluss über die Bekanntmachung in der Öffentlichkeit sorgsam gegen das Interesse der Öffentlichkeit abgewogen wurde.

Werden Informationen über einzelne Sicherheitsvorfälle in der Öffentlichkeit bekannt gemacht, so muss die zuständige Behörde oder zentrale Anlaufstelle, bei der die Meldung eingegangen ist, dafür sorgen, dass die Bekanntmachung so anonym wie möglich erfolgt.

Wenn es nach vernünftigem Ermessen möglich ist, übermittelt die zuständige Behörde oder die zentrale Anlaufstelle dem betroffenen Marktteilnehmer Informationen, die der konkreten Behandlung des gemeldeten Sicherheitsvorfalls zuträglich sind.

Die zuständige Behörde zentrale Anlaufstelle legt dem Kooperationsnetz jährlich einen zusammenfassenden Bericht über die eingegangenen Meldungen mit der Anzahl der Meldungen und unter Nennung der in Absatz 2 aufgeführten Parameter eines Sicherheitsvorfalls und die nach diesem Absatz ergriffenen Maßnahmen vor. [Abänd. 105]

(4a)  Die Mitgliedstaaten legen den Marktteilnehmern nahe, Sicherheitsvorfälle, an denen ihre Unternehmen beteiligt sind, freiwillig in ihren Finanzberichten zu veröffentlichen. [Abänd. 106]

(5)  Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, in denen festgelegt wird, unter welchen Umständen bei Sicherheitsvorfällen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt. [Abänd. 107]

(6)  Vorbehaltlich etwaiger nach Absatz 5 erlassener delegierter Rechtsakte können Die zuständigen Behörden oder die zentralen Anlaufstellen können Leitlinien annehmen und erforderlichenfalls Anweisungen zu den Umständen herausgeben erlassen , in denen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt. [Abänd. 108]

(7)  Die Kommission wird ermächtigt, mittels Durchführungsrechtsakten die für die Zwecke des Absatzes 2 geltenden Formen und Verfahren festzulegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

(8)  Die Absätze 1 und 2 gelten nicht für Kleinstunternehmen im Sinne der Definition der Empfehlung 2003/361/EG der Kommission(18) , es sei denn, das Kleinstunternehmen ist als Tochterunternehmen eines Marktteilnehmers im Sinne von Artikel 3 Nummer 8 Buchstabe b tätig . [Abänd. 109]

(8a)  Die Mitgliedstaaten können beschließen, diesen Artikel und Artikel 15 entsprechend auf öffentliche Verwaltungen anzuwenden. [Abänd. 110]

Artikel 15

Umsetzung und Durchsetzung

(1)  Die Mitgliedstaaten gewährleisten sorgen dafür , dass den zuständigen Behörden alle und den zentralen Anlaufstellen die Befugnisse eingeräumt werden, die für diese benötigen, um sicherzustellen, dass die Untersuchung von Verstößen der öffentlichen Verwaltungen oder der Marktteilnehmer gegen die ihren Verpflichtungen des Artikels gemäß Artikel  14 sowie deren Auswirkungen auf die Netz‑ und Informationssicherheit erforderlich sind nachkommen . [Abänd. 111]

(2)  Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen befugt sind, von den Marktteilnehmern und den öffentlichen Verwaltungen zu verlangen, dass sie [Abänd. 112]

a)  die zur Beurteilung der Sicherheit ihrer Netze und Informationssysteme erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln;

b)  sich Belege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorlegen, beispielsweise die Ergebnisse einer Sicherheitsüberprüfung unterziehen , die von einer qualifizierten unabhängigen Stelle oder einer zuständigen nationalen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde oder der zentralen Anlaufstelle die Belege übermitteln. [Abänd. 113]

Die zuständigen Behörden und die zentralen Anlaufstellen nennen bei Übermittlung ihres Ersuchens dessen Zweck und geben hinreichend genau an, welche Angaben verlangt werden. [Abänd. 114]

(3)  Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen befugt sind, Marktteilnehmern und öffentlichen Verwaltungen verbindliche Anweisungen zu erteilen. [Abänd. 115]

(3a)  Abweichend von Absatz 2 Buchstabe b können die Mitgliedstaaten beschließen, dass die zuständigen Behörden oder die zentralen Anlaufstellen auf der Grundlage der nach Artikel 13a festgelegten jeweiligen Kritikalitätsstufe auf bestimmte Marktteilnehmer ein anderes Verfahren anwenden. In diesem Fall

a)  sind die zuständigen Behörden bzw. zentralen Anlaufstellen befugt, den Marktteilnehmern eine hinreichend spezifische Aufforderung zu übermitteln, mit der Auflage, Belege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorzulegen, beispielsweise die Ergebnisse einer Sicherheitsüberprüfung, die von einem qualifizierten internen Prüfer durchgeführt wurde, und die Belege an die zuständige Behörde oder die zentrale Anlaufstelle zu übermitteln;

b)  kann die zuständige Behörde oder die zentrale Anlaufstelle nach Übermittlung der Auskünfte durch den Marktteilnehmer gemäß Buchstabe a bei Bedarf zusätzliche Belege oder eine zusätzliche Überprüfung durch eine qualifizierte unabhängige Stelle oder eine nationale Behörde anfordern.

3b)  Die Mitgliedstaaten können die Häufigkeit und Intensität der Überprüfungen eines Marktteilnehmers verringern, wenn aus der Sicherheitsüberprüfung hervorgeht, dass er seinen Verpflichtungen nach Kapitel IV durchgehend nachgekommen ist. [Abänd. 116]

(4)  Die zuständigen Behörden melden und die zentralen Anlaufstellen unterrichten die betroffenen Marktteilnehmer über die Möglichkeit, den Strafverfolgungsbehörden Sicherheitsvorfälle, bei denen ein schwerwiegender krimineller mit mutmaßlich schwerwiegendem kriminellem Hintergrund vermutet wird zu melden . [Abänd. 117]

(5)  Unbeschadet der geltenden Datenschutzvorschriften arbeiten die zuständigen Behörden und zentralen Anlaufstellen bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, arbeiten die zuständigen Behörden eng mit den Datenschutzbehörden zusammen. Die zentralen Anlaufstellen und die Datenschutzbehörden arbeiten gemeinsam mit der ENISA Mechanismen für den Informationsaustausch und ein einheitliches Muster aus, mit denen bzw. dem Meldungen gemäß Artikel 14 Absatz 2 dieser Richtlinie und weiteren Unionsrechtsvorschriften über den Datenschutz übermittelt werden. [Abänd. 118]

(6)  Die Mitgliedstaaten gewährleisten sorgen dafür , dass alle Verpflichtungen, die öffentlichen Verwaltungen oder Marktteilnehmern nach diesem Kapitel auferlegt werden, einer gerichtlichen Nachprüfung unterzogen werden können. [Abänd. 119]

(6a)   Die Mitgliedstaaten können beschließen, Artikel 14 und diesen Artikel entsprechend auf öffentliche Verwaltungen anzuwenden. [Abänd. 120]

Artikel 16

Normung

(1)  Um eine einheitliche Umsetzung des Artikels Damit Artikel  14 Absatz 1 zu gewährleisten einheitlich umgesetzt wird , fördern die Mitgliedstaaten die Anwendung einschlägiger europäischer oder internationaler interoperabler Normen und/oder Spezifikationen für die Netz‑ und Informationssicherheit, ohne jedoch die Anwendung einer bestimmten Technologie vorzuschreiben . [Abänd. 121]

(2)  Die Kommission stellt mittels Durchführungsrechtsakten eine erteilt dem zuständigen europäischen Normungsgremium nach Rücksprache mit den maßgeblichen Interessenträgern das Mandat zur Erstellung einer Liste der in Absatz 1 genannten Normen auf . und/oder Spezifikationen. Diese Liste wird im Amtsblatt der Europäischen Union veröffentlicht. [Abänd. 122]

KAPITEL V

SCHLUSSBESTIMMUNGEN

Artikel 17

Sanktionen

(1)  Die Mitgliedstaaten erlassen Vorschriften über Sanktionen für Verstöße gegen die nach dieser Richtlinie erlassenen nationalen Bestimmungen und treffen alle erforderlichen Maßnahmen, um deren Anwendung sicherzustellen. Diese Sanktionen müssen wirksam, angemessen und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften spätestens zum Zeitpunkt der Umsetzung dieser Richtlinie mit und melden ihr etwaige spätere Änderungen unverzüglich.

(1a)  Die Mitgliedstaaten sorgen dafür, dass die Sanktionen nach Absatz 1 nur greifen, wenn der Marktteilnehmer seinen Verpflichtungen nach Kapitel IV vorsätzlich oder grob fahrlässig nicht nachgekommen ist. [Abänd. 123]

(2)  Die Mitgliedstaaten gewährleisten, dass die bei Sicherheitsvorfällen mit Folgen für den Schutz personenbezogener Daten vorgesehenen Sanktionen, mit den Sanktionen im Einklang stehen, die in der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(19) vorgesehen sind.

Artikel 18

Ausübung der Befugnisübertragung

(1)  Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission nach Maßgabe dieses Artikels übertragen.

(2)  Die in Artikel 9 Absatz 3 und Artikel 10 Absatz 5 genannte Befugnis zum Erlass delegierter Rechtsakte wird der Kommission übertragen. Die Kommission legt spätestens neun Monate vor Ablauf des Fünfjahreszeitraums einen Bericht über die übertragenen Befugnisse vor. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widerspricht einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

(3)  Die in Befugnisübertragung gemäß Artikel 9 Absatz 3 und Artikel 10 Absatz 5 und Artikel 14 Absatz 5 genannte Befugnisübertragung kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Er berührt nicht Die Gültigkeit der von delegierten Rechtsakten, die bereits in Kraft getretenen delegierten Rechtsakte sind, wird von dem Beschluss über den Widerruf nicht berührt . [Abänd. 124]

(4)  Sobald die Kommission einen delegierten Rechtsakt erlassen hat, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(5)  Ein delegierter Rechtsakt, der nach gemäß Artikel 9 Absatz 3 und Artikel 10 Absatz 5 und Artikel 14 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben hat haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Diese Frist wird auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert. [Abänd. 125]

Artikel 19

Ausschussverfahren

(1)  Die Kommission wird von einem Ausschuss (Ausschuss für Netz‑ und Informationssicherheit) unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 4 der Verordnung (EU) Nr. 182/2011.

(3)  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Artikel 20

Überprüfung

Die Kommission überprüft das Funktionieren dieser Richtlinie und insbesondere die Liste in Anhang II regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen. [Abänd. 126]

Artikel 21

Umsetzung

(1)  Die Mitgliedstaaten erlassen und veröffentlichen die erforderlichen Rechts- und Verwaltungsvorschriften spätestens [anderthalb Jahre nach deren Annahme], um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.

Sie wenden diese Vorschriften [anderthalb Jahre nach ihrer Annahme] an.

Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.

(2)  Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten innerstaatlichen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

Artikel 22

Inkrafttreten

Diese Richtlinie tritt am zwanzigsten Tag nach dem Tag ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 23

Adressaten

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Geschehen zu ... am …

Im Namen des Europäischen Parlaments Im Namen des Rates

Der Präsident/Die Präsidentin Der Präsident/Die Präsidentin

ANHANG I

IT-Notfallteam IT-Notfallteams (Computer Emergency Response Team, CERT CERTs ) – Anforderungen und Aufgaben [Abänd. 127]

Die Anforderungen an das CERT und seine Aufgaben werden angemessen und genau festgelegt und durch nationale Strategien und/oder Vorschriften gestützt. Sie müssen Folgendes umfassen:

1)  Anforderungen an das CERT

a)  Das CERT gewährleistet Die CERTs sorgen für die hohe Verfügbarkeit seiner ihrer Kommunikationsdienste durch Vermeidung kritischer Ausfallverursacher , indem sie punktuellen Ausfällen vorbeugen und durch Bereitstellung verschiedener mehrere Kanäle bereitstellen , damit das CERT die CERTs ständig erreichbar bleibt bleiben und selbst Kontakt untereinander aufnehmen kann können . Die Kommunikationskanäle müssen genau spezifiziert sein und den CERT-Nutzern (Constituency) und Kooperationspartnern bekannt gegeben werden. [Abänd. 128]

b)  Das CERT ergreift und verwaltet Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der eingehenden und von ihm behandelten Informationen zu gewährleisten.

c)  Die CERT-Dienststellen und die unterstützenden Informationssysteme werden an sicheren Standorten und mit gesicherten Netzen und Informationssystemen eingerichtet. [Abänd. 129]

d)  Es wird ein Managementsystem für die Dienstqualität eingerichtet, um die Arbeit des CERT nachzuverfolgen und eine kontinuierliche Verbesserung zu gewährleisten. Das System basiert auf genau definierten Metriken, die formale Dienstleistungsstufen und grundlegende Leistungsindikatoren umfassen.

e)  Betriebskontinuität:

–  Das CERT verfügt über ein geeignetes System zur Verwaltung und Weiterleitung von Anfragen, um Übergaben zu erleichtern.

–  Das CERT ist personell so ausgestattet, dass es eine ständige Verfügbarkeit gewährleisten kann.

–  Das CERT stützt sich auf eine Infrastruktur, deren Kontinuität sichergestellt ist. Zu diesem Zweck werden für die Arbeit des CERT Redundanzsysteme und Ausweicharbeitsräume geschaffen, damit der kontinuierliche Zugang zu den Kommunikationsmitteln gewährleistet ist.

2)  Aufgaben des CERT

a)  Die Aufgaben des CERT müssen mindestens Folgendes umfassen:

–  Erkennung und Überwachung von Sicherheitsvorfällen auf nationaler Ebene; [Abänd. 130]

–  Ausgabe von Frühwarnungen, Alarmmeldungen sowie Bekanntmachung und Verbreitung von Informationen über Sicherheitsrisiken und ‑vorfälle unter den Betroffenen bzw. Beteiligten;

–  Reaktion auf Sicherheitsvorfälle;

–  dynamische Analyse von Sicherheitsrisiken und ‑vorfällen und Lagebeurteilung;

–  Aufklärung der breiten Öffentlichkeit über die mit Online-Aktivitäten verbundenen Risiken;

–  aktive Mitwirkung in internationalen CERT-Kooperationsnetzen sowie CERT-Kooperationsnetzen der Union; [Abänd. 131]

–  Durchführung von NIS-Kampagnen.

b)  Das CERT unterhält zwecks Zusammenarbeit Verbindungen zum Privatsektor.

c)  Zur Erleichterung der Zusammenarbeit fördert das CERT die Annahme und Anwendung gemeinsamer bzw. standardisierter Verfahren für:

–  Abläufe zur Bewältigung von Sicherheitsvorfällen und ‑risiken;

–  Systeme zur Klassifizierung von Sicherheitsvorfällen, Sicherheitsrisiken und Informationen;

–  Klassifikationsschemata für Metriken;

–  Formate für den Austausch von Informationen über Sicherheitsrisiken und ‑vorfälle sowie System-Namenskonventionen.

ANHANG II

Liste der Marktteilnehmer

nach Artikel 3 Absatz 8 Buchstabe a

1.  Plattformen des elektronischen Geschäftsverkehrs

2.  Internet-Zahlungs-Gateways

3.  Soziale Netze

4.  Suchmaschinen

5.  Cloud-Computing-Dienste

6.  Application Stores

nach Artikel 3 Absatz 8 Buchstabe b [Abänd. 132]

1.  Energie

a)  Strom

–  Strom- und Gasversorger Lieferanten

–  Verteilernetzbetreiber und Endkundenlieferanten im Strom- und/oder Gassektor Fernleitungsnetzbetreiber und Endkundenlieferanten

–  Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und LNG-Anlagenbetreiber

–  Übertragungsnetzbetreiber (Strom)

b)  Erdöl

–  Erdöl-Fernleitungen Erdölfernleitungen und Erdöllager

–  Betreiber von Anlagen zur Produktion, Raffination und Behandlung von Erdöl, Betreiber von Erdöllagern und ‑fernleitungen

c)  Erdgas

–  Strom- und Gasmarktteilnehmer Lieferanten

–  Fernleitungsnetzbetreiber und Endkundenlieferanten

–  Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und Flüssigerdgas-Anlagenbetreiber

–  Betreiber von Erdöl- und Erdgas-Produktions-, ‑Raffinations- und Behandlungsanlagen Anlagen zur Produktion, Raffination und Behandlung von Erdgas, Betreiber von Erdgasspeichern und ‑fernleitungen

–  Marktteilnehmer (Erdgas) [Abänd. 133]

2.  Verkehr

–  Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)

–  Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der See- und Küstenschifffahrt)

–  Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)

–  Flughäfen

–  Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

–  Häfen

–  Unterstützende Logistikdienste: a) Lagerhaltung und Lagerung b) Frachtumschlagsleistungen und c) andere unterstützende Verkehrsleistungen

a)  Straßenverkehr

i)   Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

ii)   unterstützende Logistikdienste:

–  Lagerhaltung und Lagerung

–  Frachtumschlagsleistungen und

–  andere unterstützende Verkehrsleistungen

b)  Schienenverkehr

i)  Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)

ii)  Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

iii)  unterstützende Logistikdienste:

–  Lagerhaltung und Lagerung

–  Frachtumschlagsleistungen und

–  andere unterstützende Verkehrsleistungen

c)  Luftverkehr

i)  Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)

ii)  Flughäfen

iii)  Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

iv)  unterstützende Logistikdienste:

–  Lagerhaltung

–  Frachtumschlagsleistungen und

–  andere unterstützende Verkehrsleistungen

d)  Seeverkehr

i)  Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der Binnen-, See- und Küstenschifffahrt) [Abänd. 134]

3.  Bankwesen: Kreditinstitute nach Artikel 4 Absatz 1 der Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates(20) .

4.  Finanzmarktinfrastrukturen: Börsen geregelte Märkte, multilaterale Handelssysteme, organisierte Handelssysteme und Clearingstellen mit zentraler Gegenpartei [Abänd. 135]

5.  Gesundheitswesen: Einrichtungen der medizinischen Versorgung (einschließlich Krankenhäusern und Privatkliniken) sowie andere Einrichtungen der Gesundheitsfürsorge

5a.  Wassergewinnung und ‑versorgung [Abänd. 136]

5b.  Lebensmittelversorgungskette [Abänd. 137]

5c.  Internet-Knoten [Abänd. 138]

(1) ABl. C 271 vom 19.9.2013, S. 133. (2) Standpunkt des Europäischen Parlaments vom 13. März 2014. (3) Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und ‑dienste (Rahmenrichtlinie) (ABl. L 108 vom 24.4.2002, S. 33). (4) Beschluss 2011/292/EU des Rates vom 31. März 2011 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 141 vom 27.5.2011, S. 17). (5) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31). (6) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1). (7) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37). (8) Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 vom 21.7.1998, S. 37). (9) SEC(2012)72 endg. (10) Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates (ABl. L 316 vom 14.11.2012, S. 12). (11) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13). (12) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43). (13) ABl. C 32 vom 4.2.2014, S. 19. (14) Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (ABl. L 345 vom 23.12.2008, S. 75). (15) Beschluss 2009/371/JHA des Rates vom 6. April 2009 zur Errichtung des Europäischen Polizeiamts (Europol) (ABl. L 121 vom 15.5.2009, S. 37). (16) Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 173 vom 26.6.2013, S.2). (17) Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates vom 21. April 2004 über Märkte für Finanzinstrumente (ABl. L 45 vom 16.2.2005, S. 18). (18) Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). (19) SEK(2012) 72 endg. (20) Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (ABl. L 177 vom 30.6.2006, S. 1).