Verfahren : 2013/0027(COD)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : A7-0103/2014

Eingereichte Texte :

A7-0103/2014

Aussprachen :

PV 12/03/2014 - 15
CRE 12/03/2014 - 15

Abstimmungen :

PV 13/03/2014 - 14.8
Erklärungen zur Abstimmung

Angenommene Texte :

P7_TA(2014)0244

BERICHT     ***I
PDF 1461kWORD 1108k
12.2.2014
PE 514.882v02-00 A7-0103/2014

über den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Ausschuss für Binnenmarkt und Verbraucherschutz

Berichterstatter: Andreas Schwab

Verfasser der Stellungnahme (*):

Pilar del Castillo Vera, Ausschuss für Industrie, Forschung und Energie,

Carl Schlyter, Ausschuss für bürgerliche Freiheiten, Justiz und Inneres

(*) Assoziierter Ausschuss – Artikel 50 der Geschäftsordnung

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS
 BEGRÜNDUNG
 STELLUNGNAHME des Ausschusses für Industrie, Forschung und Energie
 STELLUNGNAHME des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres
 STELLUNGNAHME des Ausschusses für auswärtige Angelegenheiten
 VERFAHREN

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

(Ordentliches Gesetzgebungsverfahren: erste Lesung)

Das Europäische Parlament,

–   in Kenntnis des Vorschlags der Kommission an das Europäische Parlament und den Rat (COM(2013)0048),

–   gestützt auf Artikel 294 Absatz 2 und Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C7‑0035/2013),

–   gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

–   gestützt auf Artikel 55 seiner Geschäftsordnung,

–   in Kenntnis der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses vom 22. Mai 2013(1),

–   unter Hinweis auf die Entschließung des Europäischen Parlaments vom 12. September 2013 mit dem Titel „Cybersicherheitsstrategie der Europäischen Union – ein offener, sicherer und geschützter Cyberraum“(2),

–   in Kenntnis des Berichts des Ausschusses für Binnenmarkt und Verbraucherschutz sowie der Stellungnahmen des Ausschusses für Industrie, Forschung und Energie, des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und des Ausschusses für auswärtige Angelegenheiten (A7‑0103/2014),

1.  legt den folgenden Standpunkt in erster Lesung fest;

2.  fordert die Kommission auf, es erneut zu befassen, falls sie beabsichtigt, ihren Vorschlag entscheidend zu ändern oder durch einen anderen Text zu ersetzen;

3.  beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

Änderungsantrag  1

Vorschlag für eine Richtlinie

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Freiheit und die allgemeine Sicherheit der Bürgerinnen und Bürger der Union, für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

Änderungsantrag  2

Vorschlag für eine Richtlinie

Erwägung 2

Vorschlag der Kommission

Geänderter Text

(2) Die Tragweite und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zufügen.

(2) Die Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Diese Systeme können auch zu einem leichten Angriffsziel vorsätzlich schädigender Handlungen werden, die auf die Störung oder den Ausfall des Betriebs der Systeme gerichtet sind. Solche Sicherheitsvorfälle können die Ausübung von Wirtschaftstätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer und Investoren untergraben und der Wirtschaft der Union großen Schaden zufügen und letztendlich das Wohlergehen der Bürger der Union sowie die Fähigkeit der Mitgliedstaaten, sich selbst zu schützen und für den Schutz der kritischen Infrastruktur zu sorgen, gefährden.

Änderungsantrag  3

Vorschlag für eine Richtlinie

Erwägung 3

Vorschlag der Kommission

Geänderter Text

 

(3a) Da Systemausfällen nach wie vor in der Regel keine Absicht zugrunde liegt und sie beispielsweise auf natürliche Ursachen oder menschliches Versagen zurückzuführen sind, sollte die Infrastruktur sowohl vorsätzlichen als auch unbeabsichtigten Störungen standhalten, und die Betreiber kritischer Infrastrukturen sollten robuste Systeme konstruieren.

Änderungsantrag  4

Vorschlag für eine Richtlinie

Erwägung 4

Vorschlag der Kommission

Geänderter Text

(4) Auf Unionsebene sollte ein Kooperationsmechanismus eingerichtet werden, der den Informationsaustausch sowie eine koordinierte Erkennungs- und Reaktionsfähigkeit im Bereich der Netz- und Informationssicherheit (im Folgenden „NIS“) ermöglicht. Damit ein solcher Mechanismus wirksam sein kann und alle Beteiligten einbezogen werden, muss jeder Mitgliedstaat über Mindestkapazitäten und eine Strategie verfügen, die in seinem Hoheitsgebiet eine hohe NIS gewährleisten. Zur Förderung einer Risikomanagementkultur und um sicherzustellen, dass die gravierendsten Sicherheitsvorfälle gemeldet werden, sollten Mindestsicherheitsanforderungen auch für öffentliche Verwaltungen und Betreiber kritischer Informationsinfrastrukturen gelten.

(4) Auf Unionsebene sollte ein Kooperationsmechanismus eingerichtet werden, der den Informationsaustausch sowie eine koordinierte Präventions-, Erkennungs- und Reaktionsfähigkeit im Bereich der Netz- und Informationssicherheit (im Folgenden „NIS“) ermöglicht. Damit ein solcher Mechanismus wirksam sein kann und alle Beteiligten einbezogen werden, muss jeder Mitgliedstaat über Mindestkapazitäten und eine Strategie verfügen, durch die in seinem Hoheitsgebiet für eine hohe NIS gesorgt ist. Damit das Risikomanagement stärker in die Denk- und Verhaltensweisen integriert wird und die gravierendsten Sicherheitsvorfälle tatsächlich gemeldet werden, sollten Mindestsicherheitsanforderungen zumindest auch für bestimmte Marktteilnehmer im Bereich Informationsinfrastrukturen gelten. Börsennotierten Unternehmen sollte nahegelegt werden, Sicherheitsvorfälle freiwillig in ihren Finanzberichten zu veröffentlichen. Der Rechtsrahmen sollte darauf beruhen, dass die Privatsphäre und Integrität der Bürger geschützt werden müssen. Das Warn- und Informationsnetz für kritische Infrastrukturen (WINKI) sollte auf Marktteilnehmer, die unter diese Richtlinie fallen, ausgeweitet werden.

Änderungsantrag  5

Vorschlag für eine Richtlinie

Erwägung 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(4a) Während die öffentlichen Verwaltungen aufgrund ihres öffentlichen Auftrags gebührende Sorgfalt beim Betrieb und Schutz ihrer Netze und Informationssysteme walten lassen sollten, sollte der Schwerpunkt dieser Richtlinie auf kritischen Infrastrukturen liegen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen und Gesundheit unbedingt erforderlich sind. Diese Richtlinie sollte nicht für Softwareentwickler und Hardwarehersteller gelten.

Änderungsantrag  6

Vorschlag für eine Richtlinie

Erwägung 4 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(4b) Die Zusammenarbeit und Abstimmung der einschlägigen Stellen der Union mit der Hohen Vertreterin und Vizepräsidentin mit Zuständigkeit für die Gemeinsame Außen- und Sicherheitspolitik und die Gemeinsame Sicherheits- und Verteidigungspolitik sowie mit dem EU-Koordinator für die Terrorismusbekämpfung sollten in den Fällen sichergestellt werden, in denen Sicherheitsvorfälle mit erheblichen Auswirkungen als äußere Gefährdung oder Terrorgefahr eingestuft werden.

Änderungsantrag  7

Vorschlag für eine Richtlinie

Erwägung 6

Vorschlag der Kommission

Geänderter Text

(6) Die bestehenden Kapazitäten reichen nicht aus, um eine hohe NIS in der EU zu gewährleisten. Aufgrund des sehr unterschiedlichen Niveaus der Abwehrbereitschaft verfolgen die Mitgliedstaaten uneinheitliche Ansätze innerhalb der Union. Dies führt dazu, dass Verbraucher und Unternehmen ein unterschiedliches Schutzniveau genießen und die NIS in der Union generell untergraben wird. Wegen fehlender gemeinsamer Mindestanforderungen für öffentliche Verwaltungen und Marktteilnehmer kann wiederum kein umfassender, wirksamer Mechanismus für die Zusammenarbeit auf Unionsebene geschaffen werden.

(6) Die bestehenden Kapazitäten reichen nicht aus, um eine hohe NIS in der EU zu gewährleisten. Aufgrund des sehr unterschiedlichen Niveaus der Abwehrbereitschaft verfolgen die Mitgliedstaaten uneinheitliche Ansätze innerhalb der Union. Dies führt dazu, dass Verbraucher und Unternehmen ein unterschiedliches Schutzniveau genießen und die NIS in der Union generell untergraben wird. Wegen fehlender gemeinsamer Mindestanforderungen für Marktteilnehmer kann wiederum kein umfassender, wirksamer Mechanismus für die Zusammenarbeit auf Unionsebene geschaffen werden. Universitäten und Forschungszentren spielen eine zentrale Rolle, wenn es darum geht, Forschung, Entwicklung und Innovationen in diesen Bereichen voranzutreiben, und sollten mit angemessenen Finanzmitteln ausgestattet werden.

Änderungsantrag  8

Vorschlag für eine Richtlinie

Erwägung 7

Vorschlag der Kommission

Geänderter Text

(7) Um wirksam auf die Herausforderungen im Bereich der Sicherheit von Netzen und Informationssystemen reagieren zu können, ist deshalb ein umfassender Ansatz auf Unionsebene erforderlich, der gemeinsame Mindestanforderungen für Kapazitätsaufbau und -planung, Informationsaustausch, Maßnahmenkoordinierung sowie gemeinsame Mindestsicherheitsanforderungen für alle betroffenen Marktteilnehmer und öffentlichen Verwaltungen beinhaltet.

(7) Um wirksam auf die Herausforderungen im Bereich der Sicherheit von Netzen und Informationssystemen reagieren zu können, ist deshalb ein umfassender Ansatz auf Unionsebene erforderlich, der gemeinsame Mindestanforderungen für Kapazitätsaufbau und -planung, die Entwicklung ausreichender Kompetenzen auf dem Gebiet der Cybersicherheit, Informationsaustausch, Maßnahmenkoordinierung sowie gemeinsame Mindestsicherheitsanforderungen enthält. In Übereinstimmung mit den einschlägigen Empfehlungen der Koordinierungsgruppe für die Cybersicherheit (CSGC) sollten gemeinsame Mindestnormen angewendet werden.

Änderungsantrag  9

Vorschlag für eine Richtlinie

Erwägung 8

Vorschlag der Kommission

Geänderter Text

(8) Die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, bleibt von den Bestimmungen dieser Richtlinie unberührt. Nach Artikel 346 AEUV ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seines Erachtens seinen wesentlichen Sicherheitsinteressen widerspricht.

(8) Die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, bleibt von den Bestimmungen dieser Richtlinie unberührt. Nach Artikel 346 AEUV ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seines Erachtens seinen wesentlichen Sicherheitsinteressen widerspricht. Kein Mitgliedstaat ist verpflichtet, Informationen offenzulegen, die nach dem Beschluss des Rates vom 31. März 2011 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (2011/292/EU) als EU-Verschlusssachen eingestuft sind bzw. unter Geheimhaltungsvereinbarungen oder informelle Geheimhaltungsvereinbarungen wie das sogenannte Traffic Light Protocol fallen.

Begründung

Mit dieser Änderung soll die Behandlung vertraulicher Informationen innerhalb des Anwendungsbereichs dieser Richtlinie klargestellt werden.

Änderungsantrag  10

Vorschlag für eine Richtlinie

Erwägung 9

Vorschlag der Kommission

Geänderter Text

(9) Um eine hohe gemeinsame Netz- und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht.

(9) Um eine hohe gemeinsame Netz- und Informationssicherheit zu erreichen und aufrechtzuerhalten, sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen auf der Grundlage der in dieser Richtlinie festgelegten Mindestanforderungen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, sodass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht, wobei die Privatsphäre und personenbezogene Daten geachtet und geschützt werden. Die Mitgliedstaaten sollten daher zur Einhaltung gemeinsamer Normen im Hinblick auf das Datenformat und die Austauschbarkeit der gemeinsam zu nutzenden und zu bewertenden Daten verpflichtet werden. Die Mitgliedstaaten sollten die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien auf der Grundlage eines gemeinsamen Entwurfs von Mindestanforderungen an NIS-Strategien ersuchen können.

Änderungsantrag  11

Vorschlag für eine Richtlinie

Erwägung 10 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(10a) Die Mitgliedstaaten sollten wegen der Unterschiede zwischen ihren Verwaltungsstrukturen und mit dem Ziel, dass bereits geltende sektorbezogene Vereinbarungen beibehalten werden bzw. bereits eingerichtete Aufsichts- und Regulierungsstellen der Union fortbestehen können und dass keine Doppelungen entstehen, mehrere nationale zuständige Behörden benennen können, die im Rahmen dieser Richtlinie Aufgaben im Zusammenhang mit der Netz- und Informationssicherheit von Marktteilnehmern wahrnehmen. Im Interesse der reibungslosen länderübergreifenden Zusammenarbeit und Kommunikation ist es allerdings notwendig, dass jeder Mitgliedstaat unbeschadet der sektorbezogenen Vereinbarungen nur eine nationale zentrale Anlaufstelle mit Zuständigkeit für die länderübergreifende Zusammenarbeit auf Unionsebene benennt. Ein Mitgliedstaat sollte auch – sofern es verfassungsmäßig oder aufgrund anderer Vereinbarungen erforderlich ist – befugt sein, nur eine Behörde zu benennen, die die Aufgaben der zuständigen Behörde und der zentralen Anlaufstelle wahrnimmt. Die zuständigen Behörden und die zentralen Anlaufstellen sollten zivile Stellen sein, die der vollständigen demokratischen Kontrolle unterliegen, und sie sollten weder Aufgaben in den Bereichen Geheimdienst, Strafverfolgung oder Verteidigung wahrnehmen noch organisatorisch in irgendeiner Form mit in diesen Bereichen tätigen Stellen verbunden sein.

Änderungsantrag  12

Vorschlag für eine Richtlinie

Erwägung 11

Vorschlag der Kommission

Geänderter Text

(11) Alle Mitgliedstaaten sollten über angemessene technische und organisatorische Kapazitäten verfügen, um die Prävention, Erkennung, Reaktion und Folgenminderung bei NIS-Vorfällen und ‑Risiken gewährleisten zu können. Dafür sollten im Einklang mit den grundlegenden Anforderungen in allen Mitgliedstaaten gut funktionierende IT-Notfallteams (Computer Emergency Response Teams) eingerichtet werden, damit wirksame und geeignete Kapazitäten geschaffen werden, die in der Lage sind, Sicherheitsvorfälle und -risiken zu bewältigen und eine effiziente Zusammenarbeit auf Unionsebene zu gewährleisten.

(11) Alle Mitgliedstaaten und Marktteilnehmer sollten über angemessene technische und organisatorische Kapazitäten verfügen, um die Prävention, Erkennung, Reaktion und Folgenminderung bei NIS-Vorfällen und ‑Risiken jederzeit durchführen zu können. Die Sicherheitssysteme in der öffentlichen Verwaltung sollten sicher sein und der demokratischen Kontrolle und Prüfung unterliegen. Die allgemein erforderlichen Geräte und Kapazitäten sollten den gemeinsam vereinbarten technischen Normen sowie Standardverfahren entsprechen. Dafür sollten im Einklang mit den grundlegenden Anforderungen in allen Mitgliedstaaten gut funktionierende IT-Notfallteams (Computer Emergency Response Teams, CERTs) eingerichtet werden, damit wirksame und geeignete Kapazitäten geschaffen werden, die in der Lage sind, Sicherheitsvorfälle und -risiken zu bewältigen und für eine effiziente Zusammenarbeit auf Unionsebene zu sorgen. Diese CERTs sollten in die Lage versetzt werden, auf der Grundlage gemeinsamer technischer Normen und Standardverfahren zu interagieren. Da die bestehenden CERTs, die für die einzelnen subjektiven Bedürfnisse und Akteure zuständig sind, unterschiedliche Merkmale aufweisen, sollten die Mitgliedstaaten sicherstellen, dass jedem der in dieser Richtlinie genannten Sektoren von mindestens einem CERT Dienstleistungen angeboten werden. In Bezug auf die länderübergreifende CERT-Zusammenarbeit sollten die Mitgliedstaaten sicherstellen, dass die CERTs über hinreichende Mittel verfügen, um an den auf internationaler Ebene und in der Union vorhandenen Kooperationsnetzen mitzuwirken.

Begründung

Die Interoperabilität muss sichergestellt werden.

Änderungsantrag  13

Vorschlag für eine Richtlinie

Erwägung 12

Vorschlag der Kommission

Geänderter Text

(12) Auf der Grundlage der beträchtlichen Fortschritte, die im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS) zur Förderung von Gesprächen und des Austauschs bewährter Vorgehensweisen, u. a. zur Entwicklung von Grundsätzen für die europäische Zusammenarbeit bei Cyberkrisen, erzielt worden sind, sollten die Mitgliedstaaten und die Kommission ein Netz bilden, um eine kontinuierliche Kommunikation herzustellen und ihre Zusammenarbeit auszubauen. Dieser sichere und wirksame Kooperationsmechanismus sollte den Austausch von Informationen sowie die Erkennung und Bewältigung von Sicherheitsvorfällen in strukturierter, abgestimmter Weise auf Unionsebene ermöglichen.

(12) Auf der Grundlage der beträchtlichen Fortschritte, die im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS) zur Förderung von Gesprächen und des Austauschs bewährter Verfahren, u. a. zur Entwicklung von Grundsätzen für die europäische Zusammenarbeit bei Cyberkrisen, erzielt worden sind, sollten die Mitgliedstaaten und die Kommission ein Netz bilden, um eine kontinuierliche Kommunikation herzustellen und ihre Zusammenarbeit auszubauen. Über diesen sicheren und wirksamen Kooperationsmechanismus, an dem, falls angezeigt, auch die Marktteilnehmer mitwirken, sollten Informationen ausgetauscht sowie Sicherheitsvorfälle in strukturierter, abgestimmter Weise auf Unionsebene erkannt und bewältigt werden.

Änderungsantrag  14

Vorschlag für eine Richtlinie

Erwägung 13

Vorschlag der Kommission

Geänderter Text

(13) Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) sollte die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen. Insbesondere sollte die Kommission die ENISA bei der Anwendung dieser Richtlinie zu Rate ziehen. Damit sichergestellt ist, dass die Mitgliedstaaten und die Kommission tatsächlich und rechtzeitig informiert werden, sollten Frühwarnungen vor Sicherheitsvorfällen und -risiken über das Kooperationsnetz ausgegeben werden. Um Kapazitäten und Fachwissen unter den Mitgliedstaaten aufbauen zu können, sollte das Kooperationsnetz auch als Mittel für den Austausch bewährter Verfahren dienen und damit seinen Mitgliedern beim Kapazitätsaufbau helfen sowie die Organisation von gegenseitigen Überprüfungen und NIS-Übungen leiten.

(13) Die ENISA sollte die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen. Insbesondere sollten die Kommission und die Mitgliedstaaten die ENISA bei der Anwendung dieser Richtlinie zu Rate ziehen. Damit die Mitgliedstaaten und die Kommission tatsächlich und rechtzeitig informiert werden, sollten Frühwarnungen vor Sicherheitsvorfällen und -risiken über das Kooperationsnetz ausgegeben werden. Um Kapazitäten und Fachwissen unter den Mitgliedstaaten aufbauen zu können, sollte das Kooperationsnetz auch als Mittel für den Austausch bewährter Verfahren dienen und damit seinen Mitgliedern beim Kapazitätsaufbau helfen sowie die Organisation von gegenseitigen Überprüfungen und NIS-Übungen leiten.

Änderungsantrag  15

Vorschlag für eine Richtlinie

Erwägung 13 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(13a) Bei der Umsetzung dieser Richtlinie sollten die Mitgliedstaaten bestehende Organisationsstrukturen, falls vorhanden, nutzen oder anpassen können.

Änderungsantrag  16

Vorschlag für eine Richtlinie

Erwägung 14

Vorschlag der Kommission

Geänderter Text

(14) Es sollte eine sichere Infrastruktur für den Informationsaustausch errichtet werden, damit sensible und vertrauliche Informationen über das Kooperationsnetz übermittelt werden können. Unbeschadet der Verpflichtung der Mitgliedstaaten, dem Kooperationsnetz Sicherheitsvorfälle und -risiken von unionsweiter Bedeutung zu melden, sollte der Zugang zu vertraulichen Informationen anderer Mitgliedstaaten nur gewährt werden, wenn diese nachweisen können, dass durch ihre technischen, finanziellen und personellen Ressourcen und Verfahren sowie ihre Kommunikationsinfrastruktur sichergestellt ist, dass sie in wirksamer, effizienter und sicherer Weise an der Arbeit des Netzes teilnehmen können.

(14) Es sollte eine sichere Infrastruktur für den Informationsaustausch errichtet werden, damit sensible und vertrauliche Informationen über das Kooperationsnetz übermittelt werden können. In der Union bestehende Strukturen sollten in vollem Umfang zu diesem Zweck genutzt werden. Unbeschadet der Verpflichtung der Mitgliedstaaten, dem Kooperationsnetz Sicherheitsvorfälle und -risiken von unionsweiter Bedeutung zu melden, sollte der Zugang zu vertraulichen Informationen anderer Mitgliedstaaten nur gewährt werden, wenn diese nachweisen können, dass durch ihre technischen, finanziellen und personellen Ressourcen und Verfahren sowie ihre Kommunikationsinfrastruktur sichergestellt ist, dass sie in wirksamer, effizienter und sicherer Weise an der Arbeit des Netzes teilnehmen können und dabei transparente Verfahren anwenden.

Änderungsantrag  17

Vorschlag für eine Richtlinie

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und Informationen und bewährte Verfahren austauschen und im Gegenzug operative Unterstützung im Falle von Sicherheitsvorfällen erhalten.

(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und untereinander Informationen und bewährte Verfahren austauschen, einschließlich des gegenseitigen Austauschs relevanter Informationen und operativer Unterstützung sowie strategisch analysierte Informationen im Fall von Sicherheitsvorfällen. Zur wirksamen Unterstützung des Austauschs von Informationen und bewährten Verfahren muss unbedingt sichergestellt werden, dass Marktteilnehmer, die an einem solchen Austausch beteiligt sind, keine Benachteiligung aufgrund ihrer Zusammenarbeit erfahren. Durch angemessene Sicherheitsvorkehrungen sollte sichergestellt werden, dass eine solche Zusammenarbeit für diese Betreiber gemäß den Rechtsvorschriften, beispielsweise über den Wettbewerb, das geistige Eigentum, den Datenschutz oder die Cyberkriminalität, nicht mit einem erhöhten Risiko von Verstößen einhergeht oder dass ihnen daraus keine neue Haftung erwächst und dass diese Zusammenarbeit für sie auch nicht mit höheren operativen oder sicherheitstechnischen Risiken verbunden ist.

Änderungsantrag  18

Vorschlag für eine Richtlinie

Erwägung 16

Vorschlag der Kommission

Geänderter Text

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zuständigen Behörden eine gemeinsame Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken einrichten.

(16) Um für Transparenz zu sorgen und die Bürger und Marktteilnehmer der Union angemessen zu informieren, sollten die zentralen Anlaufstellen eine gemeinsame unionsweite Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken, Möglichkeiten der Risikobegrenzung und, falls notwendig, zur Bereitstellung von Empfehlungen zu geeigneten Wartungsmaßnahmen einrichten. Die Informationen auf dieser Website sollten geräteunabhängig zugänglich sein. Die auf dieser Website veröffentlichten personenbezogenen Daten sollten auf das Notwendige beschränkt und so anonym wie möglich sein.

Änderungsantrag  19

Vorschlag für eine Richtlinie

Erwägung 18

Vorschlag der Kommission

Geänderter Text

(18) Die Kommission und die Mitgliedstaaten sollten auf der Grundlage nationaler Erfahrungen im Krisenmanagement in Zusammenarbeit mit der ENISA einen NIS-Kooperationsplan der EU ausarbeiten, in dem Kooperationsmechanismen zur Bewältigung von Sicherheitsrisiken und ‑vorfällen festgelegt werden. Diesem Plan sollte bei Frühwarnungen über das Kooperationsnetz angemessen Rechnung getragen werden.

(18) Die Kommission und die Mitgliedstaaten sollten auf der Grundlage nationaler Erfahrungen im Krisenmanagement in Zusammenarbeit mit der ENISA einen NIS-Kooperationsplan der EU ausarbeiten, in dem Kooperationsmechanismen, bewährte Verfahren und Verfahrensmuster zur Prävention, Entdeckung, Meldung und Bewältigung von Sicherheitsrisiken und ‑vorfällen festgelegt werden. Diesem Plan sollte bei Frühwarnungen über das Kooperationsnetz angemessen Rechnung getragen werden.

Änderungsantrag  20

Vorschlag für eine Richtlinie

Erwägung 19

Vorschlag der Kommission

Geänderter Text

(19) Eine Verpflichtung zur Herausgabe einer Frühwarnung über das Netz sollte nur bestehen, wenn Tragweite und Schwere des Sicherheitsvorfalls oder betreffenden -risikos so erheblich sind oder werden können, dass ein Informationsaustausch oder eine Koordinierung der Reaktion auf EU-Ebene erforderlich ist. Frühwarnungen sollten deshalb auf diejenigen tatsächlichen oder potenziellen Sicherheitsvorfälle und -risiken beschränkt bleiben, die sich rasch ausweiten, nationale Reaktionskapazitäten überschreiten oder mehr als einen Mitgliedstaat betreffen. Um eine angemessene Bewertung zu ermöglichen, sollten dem Kooperationsnetz alle für die Beurteilung des Sicherheitsrisikos oder -vorfalls erheblichen Informationen mitgeteilt werden.

(19) Eine Verpflichtung zur Herausgabe einer Frühwarnung über das Netz sollte nur bestehen, wenn Tragweite und Schwere des Sicherheitsvorfalls oder betreffenden ‑risikos so erheblich sind oder werden können, dass ein Informationsaustausch oder eine Koordinierung der Reaktion auf EU-Ebene erforderlich ist. Frühwarnungen sollten deshalb auf diejenigen Sicherheitsvorfälle und ‑risiken beschränkt bleiben, die sich rasch ausweiten, nationale Reaktionskapazitäten überschreiten oder mehr als einen Mitgliedstaat betreffen. Um eine angemessene Bewertung zu ermöglichen, sollten dem Kooperationsnetz alle für die Beurteilung des Sicherheitsrisikos oder -vorfalls erheblichen Informationen mitgeteilt werden.

Änderungsantrag  21

Vorschlag für eine Richtlinie

Erwägung 20

Vorschlag der Kommission

Geänderter Text

(20) Bei Eingang einer Frühwarnung und bei deren Bewertung sollten sich die zuständigen Behörden auf eine koordinierte Reaktion nach dem NIS-Kooperationsplan der EU einigen. Die zuständigen Behörden und die Kommission sollten über die im Zuge der koordinierten Reaktion auf nationaler Ebene ergriffenen Maßnahmen informiert werden.

(20) Bei Eingang einer Frühwarnung und bei deren Bewertung sollten sich die zentralen Anlaufstellen auf eine koordinierte Reaktion nach dem NIS-Kooperationsplan der EU einigen. Die zentralen Anlaufstellen, die ENISA und die Kommission sollten über die im Zuge der koordinierten Reaktion auf nationaler Ebene ergriffenen Maßnahmen informiert werden.

Änderungsantrag  22

Vorschlag für eine Richtlinie

Erwägung 21

Vorschlag der Kommission

Geänderter Text

(21) Angesichts des globalen Charakters von NIS-Problemen bedarf es einer engeren internationalen Zusammenarbeit, damit die Sicherheitsstandards und der Informationsaustausch verbessert werden können und ein gemeinsames globales Konzept für NIS-Fragen gefördert werden kann.

(21) Angesichts des globalen Charakters von NIS-Problemen bedarf es einer engeren internationalen Zusammenarbeit, damit die Sicherheitsstandards und der Informationsaustausch verbessert werden können und ein gemeinsames globales Konzept für NIS-Fragen gefördert werden kann. Der Rahmen für eine derartige internationale Zusammenarbeit sollte den Bestimmungen der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 unterliegen.

Änderungsantrag  23

Vorschlag für eine Richtlinie

Erwägung 22

Vorschlag der Kommission

Geänderter Text

(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollte eine Risikomanagementkultur gefördert und entwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollte, die den jeweiligen Risiken angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist.

(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollten die Integration des Risikomanagements in die Denk- und Verhaltensweisen, enge Zusammenarbeit und Vertrauen gefördert und weiterentwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollten, die den jeweiligen Risiken und vorsätzlichen wie unbeabsichtigten Sicherheitsvorfällen angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, verlässliche gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist.

Änderungsantrag  24

Vorschlag für eine Richtlinie

Erwägung 24

Vorschlag der Kommission

Geänderter Text

(24) Diese Verpflichtungen sollten über den elektronischen Kommunikationssektor hinaus ausgeweitet werden auf wichtige Anbieter von Diensten der Informationsgesellschaft im Sinne der Richtlinie 98/34/EG des europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, auf die sich nachgelagerte Dienste der Informationsgesellschaft oder Online-Tätigkeiten wie Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste und Application Stores stützen. Störungen dieser grundlegenden Dienste der Informationsgesellschaft verhindern die Erbringung anderer, darauf aufbauender Dienste der Informationsgesellschaft. Softwareentwickler und Hardwarehersteller sind keine Anbieter von Diensten der Informationsgesellschaft und sind deshalb ausgenommen. Die Verpflichtungen sollten auch auf öffentliche Verwaltungen und Betreiber kritischer Infrastrukturen ausgeweitet werden, die stark von der Informations- und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom- und Gasversorgung, Verkehr, Finanzinstitutionen, Börsen, Gesundheitswesen usw.) unerlässlich sind. Eine Störung dieser Netze und Informationssysteme würde den Binnenmarkt beeinträchtigen.

(24) Diese Verpflichtungen sollten auf Betreiber von Infrastrukturen ausgeweitet werden, die stark von der Informations- und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom- und Gasversorgung, Verkehr, Kreditinstitute, Finanzmarktinfrastrukturen, Gesundheitswesen usw.) unbedingt notwendig sind. Durch eine Störung dieser Netze und Informationssysteme würde der Binnenmarkt beeinträchtigt. Während die in dieser Richtlinie festgelegten Verpflichtungen nicht über Anbieter von Diensten der Informationsgesellschaft im Sinne der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft hinaus ausgeweitet werden sollte, auf die sich nachgelagerte Dienste der Informationsgesellschaft oder Online-Tätigkeiten wie Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste im Allgemeinen oder Application Stores stützen, könnten diese Anbieter auf freiwilliger Grundlage die zuständige Behörde oder die zentrale Anlaufstelle über die die Netzsicherheit betreffenden Vorfälle informieren, die sie für relevant halten. Die zuständige Behörde oder die zentrale Anlaufstelle sollte, wenn möglich, den Marktteilnehmern, die den Sicherheitsvorfall gemeldet haben, strategische, analysierte Informationen übermitteln, mit denen dazu beigetragen wird, die sicherheitsrelevante Bedrohung zu überwinden.

Änderungsantrag  25

Vorschlag für eine Richtlinie

Erwägung 24 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(24a) Zwar sind Hardware- und Softwareanbieter keine Marktteilnehmer, die mit denen vergleichbar sind, die unter diese Richtlinie fallen, doch begünstigen ihre Produkte die Sicherheit von Netzen und Informationssystemen. Ihnen kommt deshalb eine wichtige Aufgabe zu, wenn es darum geht, die Marktteilnehmer in die Lage zu versetzen, ihre Netz- und Informationsinfrastrukturen zu sichern. Da Hardware- und Softwareprodukte bereits den geltenden Produkthaftungsvorschriften unterliegen, sollten die Mitgliedstaaten Vorkehrungen dafür treffen, dass diese Vorschriften auch durchgesetzt werden.

Änderungsantrag  26

Vorschlag für eine Richtlinie

Erwägung 25

Vorschlag der Kommission

Geänderter Text

(25) Zu den von öffentlichen Verwaltungen und Marktteilnehmern zu ergreifenden technischen und organisatorischen Maßnahmen sollte nicht die Verpflichtung gehören, bestimmte geschäftliche Informationen und Produkte der Kommunikationstechnik in bestimmter Weise zu konzipieren, zu entwickeln oder herzustellen.

(25) Zu den von den Marktteilnehmern zu ergreifenden technischen und organisatorischen Maßnahmen sollte nicht die Verpflichtung gehören, bestimmte geschäftliche Informationen und Produkte der Kommunikationstechnik in bestimmter Weise zu konzipieren, zu entwickeln oder herzustellen.

Änderungsantrag  27

Vorschlag für eine Richtlinie

Erwägung 26

Vorschlag der Kommission

Geänderter Text

(26) Öffentliche Verwaltungen und Marktteilnehmer sollten die Sicherheit der ihnen unterstehenden Netze und Systeme gewährleisten. Dabei handelt es sich hauptsächlich um private Netze und Systeme, die entweder von internem IT-Personal verwaltet werden oder deren Sicherheit Dritten anvertraut wurde. Die Verpflichtung zur Gewährleistung der Sicherheit und die Meldepflicht sollten für die einschlägigen Marktteilnehmer und öffentlichen Verwaltungen unabhängig davon gelten, ob sie ihre Netze und Informationssysteme intern warten oder diese Aufgabe ausgliedern.

(26) Die Marktteilnehmer sollten die Sicherheit der ihnen unterstehenden Netze und Systeme gewährleisten. Dabei handelt es sich hauptsächlich um private Netze und Systeme, die entweder von internem IT-Personal verwaltet werden oder deren Sicherheit Dritten anvertraut wurde. Die Verpflichtung zur Gewährleistung der Sicherheit und die Meldepflicht sollten für die einschlägigen Marktteilnehmer unabhängig davon gelten, ob sie ihre Netze und Informationssysteme intern warten oder diese Aufgabe ausgliedern.

Änderungsantrag  28

Vorschlag für eine Richtlinie

Erwägung 28

Vorschlag der Kommission

Geänderter Text

(28) Die zuständigen Behörden sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle melden, entstehen kann. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur Veröffentlichung der entsprechenden Sicherheitsfixes streng vertraulich bleiben.

(28) Die zuständigen Behörden und die zentralen Anlaufstellen sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Die zuständigen Behörden und die zentralen Anlaufstellen sollten die Hersteller betroffener IKT-Produkte und die Anbieter betroffener IKT-Dienste über ihnen gemeldete Sicherheitsvorfälle mit erheblichen Auswirkungen benachrichtigen. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden und den zentralen Anlaufstellen gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den Marktteilnehmern, die solche Sicherheitsvorfälle melden, entstehen kann. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden und die zentralen Anlaufstellen besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur Bereitstellung der entsprechenden Sicherheitsfixes streng vertraulich bleiben. Generell sollten die zentralen Anlaufstellen keine personenbezogenen Daten von natürlichen Personen offenlegen, die an Sicherheitsvorfällen beteiligt sind. Die zentralen Anlaufstellen sollten personenbezogene Daten nur dann offenlegen, wenn es im Hinblick auf den damit verfolgten Zweck notwendig und verhältnismäßig ist.

Änderungsantrag  29

Vorschlag für eine Richtlinie

Erwägung 29

Vorschlag der Kommission

Geänderter Text

(29) Die zuständigen Behörden sollten mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein; sie sollten auch befugt sein, hinreichende Auskünfte von Marktteilnehmern und öffentlichen Verwaltungen einzuholen, damit sie die Sicherheit von Netzen und Informationssystemen beurteilen können und über verlässliche, umfassende Daten über tatsächliche Sicherheitsvorfälle verfügen, die den Betrieb von Netzen und Informationssystemen beeinträchtigt haben.

(29) Die zuständigen Behörden sollten mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein; sie sollten auch befugt sein, hinreichende Auskünfte von Marktteilnehmern einzuholen, damit sie die Sicherheit von Netzen und Informationssystemen beurteilen und die Anzahl, die Größenordnung und die Tragweite von Sicherheitsvorfällen bemessen können und über verlässliche, umfassende Daten über tatsächliche Sicherheitsvorfälle verfügen, die den Betrieb von Netzen und Informationssystemen beeinträchtigt haben.

Änderungsantrag  30

Vorschlag für eine Richtlinie

Erwägung 30

Vorschlag der Kommission

Geänderter Text

(30) Häufig gehen Sicherheitsvorfälle auf kriminelle Handlungen zurück. Selbst wenn zunächst keine hinreichenden Beweise vorliegen, kann bei Sicherheitsvorfällen ein krimineller Hintergrund vermutet werden. In diesem Zusammenhang sollte eine sachgerechte Zusammenarbeit zwischen den zuständigen Behörden und den Strafverfolgungsbehörden Bestandteil einer wirksamen, umfassenden Reaktion auf die Bedrohung durch Sicherheitsvorfälle sein. Die Förderung einer sicheren, robusteren Umgebung setzt insbesondere voraus, dass die Strafverfolgungsbehörden systematisch über Sicherheitsvorfälle mit mutmaßlich kriminellem Hintergrund Bericht informiert werden. Ob es sich um Sicherheitsvorfälle aufgrund schwerer Straftaten handelt, sollte nach den EU-Vorschriften über Cyberkriminalität beurteilt werden.

(30) Häufig gehen Sicherheitsvorfälle auf kriminelle Handlungen zurück. Selbst wenn zunächst keine hinreichenden Beweise vorliegen, kann bei Sicherheitsvorfällen ein krimineller Hintergrund vermutet werden. In diesem Zusammenhang sollte eine sachgerechte Zusammenarbeit zwischen den zuständigen Behörden, den zentralen Anlaufstellen und den Strafverfolgungsbehörden sowie eine Zusammenarbeit mit dem EC3 (Europäisches Zentrum zur Bekämpfung der Cyberkriminalität) und der ENISA Bestandteil einer wirksamen, umfassenden Reaktion auf die Bedrohung durch Sicherheitsvorfälle sein. Die Förderung einer sicheren, robusteren Umgebung setzt insbesondere voraus, dass die Strafverfolgungsbehörden systematisch über Sicherheitsvorfälle mit mutmaßlich kriminellem Hintergrund Bericht informiert werden. Ob es sich um Sicherheitsvorfälle aufgrund schwerer Straftaten handelt, sollte nach den EU-Vorschriften über Cyberkriminalität beurteilt werden.

Änderungsantrag  31

Vorschlag für eine Richtlinie

Erwägung 31

Vorschlag der Kommission

Geänderter Text

(31) Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Deshalb sollten die zuständigen Behörden und die Datenschutzbehörden zusammenarbeiten und Informationen zu allen einschlägigen Fragen austauschen, um derartigen Verletzungen des Schutzes personenbezogener Daten zu begegnen. Die Mitgliedstaaten sollten die Meldepflicht bei Sicherheitsvorfällen so umsetzen, dass der Verwaltungsaufwand bei Sicherheitsvorfällen, die gleichzeitig eine Verletzung des Schutzes personenbezogener Daten im Sinne der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr darstellen, so gering wie möglich gehalten wird. Über Kontakte mit den zuständigen Behörden und den Datenschutzbehörden könnte die ENISA Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch sowie Muster entwickelt, mit denen die Verwendung zweier verschiedener Muster für die Meldung von NIS-Vorfällen vermieden werden kann. Die Meldung anhand eines einzigen Musters wäre bei Sicherheitsvorfällen, bei denen der Schutz personenbezogener Daten beeinträchtigt wurde, eine Vereinfachung und würde damit den Verwaltungsaufwand für Unternehmen und öffentliche Verwaltungen verringern.

(31) Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Die Mitgliedstaaten und Marktteilnehmer sollten gespeicherte, verarbeitete oder übermittelte Daten gegen zufällige oder rechtswidrige Zerstörung, zufälligen Verlust oder zufällige Änderung sowie gegen unbefugte oder rechtswidrige Speicherung, Offenlegung oder Verbreitung schützen; sie sollten darüber hinaus für die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten sorgen. Deshalb sollten die zuständigen Behörden die zentralen Anlaufstellen und die Datenschutzbehörden zusammenarbeiten und Informationen austauschen, falls angezeigt, auch mit den Marktteilnehmern, um derartigen Verletzungen des Schutzes personenbezogener Daten im Einklang mit den geltenden Datenschutzvorschriften zu begegnen. Die Meldepflicht bei Sicherheitsvorfällen sollte so umgesetzt werden, dass der Verwaltungsaufwand bei Sicherheitsvorfällen, die gleichzeitig eine Verletzung des Schutzes personenbezogener Daten darstellen und gemäß den geltenden Datenschutzvorschriften der Union gemeldet werden müssen, so gering wie möglich gehalten wird. Die ENISA sollte Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch und ein einziges Muster entwickelt, mit denen bzw. dem die Meldung von Sicherheitsvorfällen, bei denen der Schutz personenbezogener Daten beeinträchtigt wurde, vereinfacht und damit der Verwaltungsaufwand für Unternehmen und öffentliche Verwaltungen verringert würde.

Änderungsantrag  32

Vorschlag für eine Richtlinie

Erwägung 32

Vorschlag der Kommission

Geänderter Text

(32) Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang. Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter Normen fördern, damit ein hohes Sicherheitsniveau auf Unionsebene gewährleistet wird. Zu diesem Zweck könnte es erforderlich sein, harmonisierte Normen auszuarbeiten; dies sollte nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates29 geschehen.

(32) Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang auf freiwilliger Grundlage, der es Marktteilnehmern ermöglichen sollte, alternative Mittel einzusetzen, um mindestens ähnliche Ergebnisse zu erzielen. Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter interoperabler Normen fördern, damit für ein hohes Sicherheitsniveau auf Unionsebene gesorgt ist. Zu diesem Zweck sollte die Anwendung offener internationaler Normen für Netzinformationssicherheit oder die Konzipierung entsprechender Instrumente in Erwägung gezogen werden. Ein weiterer Schritt könnte darin bestehen, harmonisierte Normen auszuarbeiten; dies sollte nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates29 geschehen. Insbesondere sollten das ETSI, das CEN und das CENELEC ermächtigt werden, wirkungsvolle und effiziente offene Sicherheitsstandards der Union zu empfehlen, bei denen so weit wie möglich keine technischen Voreinstellungen vorgenommen werden und die für kleine und mittelgroße Marktteilnehmer praktikabel sind. Internationale Standards über die Cybersicherheit sollten sehr sorgfältig geprüft werden, um sicherzustellen, dass bei ihnen keine Abstriche gemacht wurden und dass sie ein ausreichend hohes Sicherheitsniveau bieten und folglich dafür gesorgt ist, dass durch die gebotene Einhaltung der Cybersicherheitsstandards das Gesamtniveau der Cybersicherheit in der Union erhöht und nicht herabgesetzt wird.

__________________

__________________

29 ABl. L 316 vom 14.11.2012, S. 12.

29 ABl. L 316 vom 14.11.2012, S. 12.

Änderungsantrag  33

Vorschlag für eine Richtlinie

Erwägung 33

Vorschlag der Kommission

Geänderter Text

(33) Die Kommission sollte diese Richtlinie regelmäßig überprüfen, insbesondere um festzustellen, ob sie veränderten technischen oder Marktbedingungen anzupassen ist.

(33) Die Kommission sollte diese Richtlinie regelmäßig in Abstimmung mit allen betroffenen Interessenträgern überprüfen, insbesondere, um festzustellen, ob sie veränderten gesellschaftlichen, politischen, technischen oder Marktbedingungen anzupassen ist.

Änderungsantrag  34

Vorschlag für eine Richtlinie

Erwägung 34

Vorschlag der Kommission

Geänderter Text

(34) Damit das Kooperationsnetz ungehindert arbeiten kann, sollte der Kommission nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union die Befugnis übertragen werden, Rechtsakte zur Festlegung der Kriterien, die ein Mitgliedstaat erfüllen muss, um zur Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden, sowie der weiteren Spezifikation für Auslöser von Frühwarnungen und der Festlegung der Umstände, in denen für Marktteilnehmer und öffentliche Verwaltungen die Meldepflicht gilt, zu erlassen.

(34) Damit das Kooperationsnetz ungehindert arbeiten kann, sollte der Kommission nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union die Befugnis übertragen werden, Rechtsakte in Bezug auf das Paket der gemeinsamen Verbindungs- und Sicherheitsstandards für die sichere Infrastruktur für den Informationsaustausch und zur weiteren Spezifikation für Auslöser von Frühwarnungen zu erlassen.

Änderungsantrag  35

Vorschlag für eine Richtlinie

Erwägung 36

Vorschlag der Kommission

Geänderter Text

(36) Zur Gewährleistung einheitlicher Voraussetzungen für die Umsetzung dieser Richtlinie sollten der Kommission Durchführungsbefugnisse in Bezug auf die Zusammenarbeit zwischen den zuständigen Behörden und der Kommission im Rahmen des Kooperationsnetzes, den Zugang zur sicheren Infrastruktur für den Informationsaustausch, den NIS-Kooperationsplan, die Formen und Verfahren zur Information der Öffentlichkeit über Sicherheitsvorfälle und NIS-bezogene Normen und/oder technische Spezifikationen übertragen werden. Diese Befugnisse sollten nach der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, ausgeübt werden.

(36) Zur Gewährleistung einheitlicher Bedingungen für die Umsetzung dieser Richtlinie sollten der Kommission unbeschadet der Mechanismen der Zusammenarbeit auf nationaler Ebene Durchführungsbefugnisse in Bezug auf die Zusammenarbeit zwischen den zentralen Anlaufstellen und der Kommission im Rahmen des Kooperationsnetzes, den Zugang zur sicheren Infrastruktur für den Informationsaustausch, den NIS-Kooperationsplan der Union und die Formen und Verfahren für die Meldung von Sicherheitsvorfällen mit erheblichen Auswirkungen übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, ausgeübt werden.

Begründung

Durch diesen Änderungsantrag wird Änderungsantrag 20 des Entwurfs eines Berichts ersetzt. Mit dieser Änderung soll ein Fehler in Bezug auf den geplanten Durchführungsrechtsakt im Vorschlag der Kommission behoben und der neuen vorgeschlagenen Änderung an Artikel 9 Absatz 3 Rechnung getragen werden.

Änderungsantrag  36

Vorschlag für eine Richtlinie

Erwägung 37

Vorschlag der Kommission

Geänderter Text

(37) Bei der Anwendung dieser Richtlinie sollte die Kommission gegebenenfalls mit den einschlägigen Ausschüssen und Einrichtungen auf EU-Ebene, insbesondere denen der Bereiche Energie, Verkehr und Gesundheit, in Kontakt stehen.

(37) Bei der Anwendung dieser Richtlinie sollte die Kommission gegebenenfalls mit den einschlägigen Ausschüssen und Einrichtungen auf EU-Ebene, insbesondere denen der Bereiche elektronische Verwaltung, Energie, Verkehr, Gesundheit und Verteidigung, in Kontakt stehen.

Änderungsantrag  37

Vorschlag für eine Richtlinie

Erwägung 38

Vorschlag der Kommission

Geänderter Text

(38) Informationen, die nach den Vorschriften der Union und der Mitgliedstaaten über das Geschäftsgeheimnis von einer zuständigen Behörde als vertraulich eingestuft werden, sollten mit der Kommission und anderen zuständigen Behörden nur ausgetauscht werden, wenn sich dies für die Zwecke dieser Richtlinie als unbedingt erforderlich erweist. Der Informationsaustausch sollte im Umfang so begrenzt bleiben, dass er im Hinblick auf das verfolgte Ziel relevant und angemessen ist.

(38) Informationen, die nach den Vorschriften der Union und der Mitgliedstaaten über das Geschäftsgeheimnis von einer zuständigen Behörde oder einer zentralen Anlaufstelle als vertraulich eingestuft werden, sollten mit der Kommission, ihren einschlägigen Stellen, zentralen Anlaufstellen und/oder weiteren zuständigen nationalen Behörden nur dann ausgetauscht werden, wenn es sich für die Zwecke dieser Richtlinie als unbedingt erforderlich erweist. Der Informationsaustausch sollte im Umfang so begrenzt bleiben, dass er im Hinblick auf das verfolgte Ziel relevant, notwendig und angemessen ist und dass zuvor festgelegte Vertraulichkeits- und Sicherheitskriterien im Einklang mit dem Beschluss des Rates vom 31. März 2011 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (2011/292/EU), Geheimhaltungsvereinbarungen und informellen Geheimhaltungsvereinbarungen wie dem sogenannten Traffic Light Protocol beachtet werden.

Änderungsantrag  38

Vorschlag für eine Richtlinie

Erwägung 39

Vorschlag der Kommission

Geänderter Text

(39) Der Austausch von Informationen über Sicherheitsrisiken und -vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr erfolgen.

(39) Der Austausch von Informationen über Sicherheitsrisiken und -vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden oder zentralen Anlaufstellen kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr erfolgen.

Änderungsantrag  39

Vorschlag für eine Richtlinie

Erwägung 41 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(41a) Gemäß der gemeinsamen politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten vom 28. September 2011 haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen innerstaatlicher Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt.

Änderungsantrag  40

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter Weise mit Sicherheitsrisiken und -vorfällen, die Netze und Informationssysteme beeinträchtigen, umgegangen bzw. darauf reagiert werden kann;

b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter und wirkungsvoller Weise mit Sicherheitsrisiken und ‑vorfällen, durch die Netze und Informationssysteme beeinträchtigt werden, unter Mitwirkung der Betroffenen umgegangen bzw. darauf reagiert werden kann;

Änderungsantrag  41

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

c) die Festlegung von Sicherheitsvorschriften für Marktteilnehmer und öffentliche Verwaltungen.

c) die Festlegung von Sicherheitsvorschriften für Marktteilnehmer.

Änderungsantrag  42

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bleiben von dieser Richtlinie ebenfalls unberührt.

5) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr bleiben von dieser Richtlinie ebenfalls unberührt. Die Nutzung personenbezogener Daten muss auf das für die Zwecke dieser Richtlinie absolut notwendige Mindestmaß beschränkt sein, und die Daten müssen so anonym wie möglich, wenn nicht gar vollständig anonym sein.

Änderungsantrag  43

Vorschlag für eine Richtlinie

Artikel 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 1a

 

Schutz und Verarbeitung personenbezogener Daten

 

1) Die Verarbeitung personenbezogener Daten in den Mitgliedstaaten gemäß dieser Richtlinie erfolgt im Einklang mit den Richtlinien 95/46/EG und 2002/58/EG.

 

2) Die Verarbeitung personenbezogener Daten durch die Kommission und die ENISA gemäß dieser Richtlinie erfolgt im Einklang mit der Verordnung (EG) Nr. 45/2001.

 

3) Die Verarbeitung personenbezogener Daten durch das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität gemäß dieser Richtlinie erfolgt im Einklang mit dem Beschluss 2009/371/JI.

 

4) Die Verarbeitung personenbezogener Daten erfolgt auf redliche und rechtmäßige Weise und wird auf das für die Zwecke der Datenverarbeitung absolut notwendige Mindestmaß beschränkt. Die personenbezogenen Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen höchstens so lange ermöglicht, wie es für die Realisierung des Verarbeitungszwecks erforderlich ist.

 

5) Die Meldung von Sicherheitsvorfällen gemäß Artikel 14 lässt die Bestimmungen über die Meldepflicht bei Verstößen gegen den Schutz personenbezogener Daten nach Artikel 4 der Richtlinie 2002/58/EG und der Verordnung (EU) Nr. 611/2013 unberührt.

Änderungsantrag  44

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen sowie

b) Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, sowie

Änderungsantrag  45

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 1 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

c) Computerdaten, die von den in Buchstaben a und b genannten Elementen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

c) digitale Daten, die von den in Buchstaben a und b genannten Elementen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

Änderungsantrag  46

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 2

Vorschlag der Kommission

Geänderter Text

2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind;

2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind; der Ausdruck „Sicherheit“ bezeichnet auch technische Geräte, Lösungen und Betriebsabläufe, mit denen sichergestellt wird, dass die in dieser Richtlinie festgelegten Sicherheitsanforderungen erfüllt werden;

Änderungsantrag  47

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 3

Vorschlag der Kommission

Geänderter Text

3) „Sicherheitsrisiko“ alle Umstände oder Ereignisse, die potenziell negative Auswirkungen auf die Sicherheit haben;

3) „Sicherheitsrisiko“ alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse, die potenziell negative Auswirkungen auf die Sicherheit haben;

Änderungsantrag  48

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 4

Vorschlag der Kommission

Geänderter Text

4) „Sicherheitsvorfälle“ alle Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben;

4) „Sicherheitsvorfälle“ alle Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben;

Änderungsantrag  49

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 5

Vorschlag der Kommission

Geänderter Text

5) „Dienst der Informationsgesellschaft“ einen Dienst im Sinne der Nummer 2 des Artikels 1 der Richtlinie 98/34/EG;

entfällt

Änderungsantrag  50

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 7

Vorschlag der Kommission

Geänderter Text

7) „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Analyse, Eindämmung und Reaktion im Falle von Sicherheitsvorfällen;

7) „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Erkennung, Prävention, Analyse, Eindämmung und Reaktion im Fall von Sicherheitsvorfällen;

Änderungsantrag  51

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 8 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen; Anhang II enthält eine nicht erschöpfende Liste solcher Anbieter;

entfällt

Änderungsantrag  52

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 8 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

b) Betreiber von Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Internet-Knoten, Lebensmittelversorgungskette und Gesundheit unerlässlich sind und deren Unterbrechung oder Zerstörung mit dem Ergebnis, dass ihre Funktionsfähigkeit nicht aufrechterhalten werden kann, in einem Mitgliedstaat erhebliche Folgen hätte; soweit die betroffenen Netze und Informationssysteme mit den Kerndiensten im Zusammenhang stehen, enthält Anhang II eine nicht erschöpfende Liste dieser Betreiber;

Änderungsantrag  53

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

8a) „Sicherheitsvorfall mit beträchtlichen Auswirkungen“ einen Sicherheitsvorfall, der die Sicherheit und Kontinuität eines Informationsnetzes oder ‑systems so stark beeinträchtigt, dass es zu erheblichen Störungen zentraler wirtschaftlicher und gesellschaftlicher Funktionen kommt;

Änderungsantrag  54

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 11 a (neu)

Vorschlag der Kommission

Geänderter Text

 

11a) „geregelter Markt“ einen Markt im Sinne von Artikel 4 Absatz 1 Nummer 14 der Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates1a;

 

________________

 

1a Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates vom 21. April 2004 über Märkte für Finanzinstrumente (ABl. L 45 vom 16.2.2005, S. 18).

Begründung

Angleichung der Begriffsbestimmung an die Verordnung des Europäischen Parlaments und des Rates über Märkte für Finanzinstrumente und zur Änderung der Verordnung [EMIR] über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister, deren Annahme immer noch aussteht.

Änderungsantrag  55

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 11 b (neu)

Vorschlag der Kommission

Geänderter Text

 

11b) „multilaterales Handelssystem (MTF)“ ein multilaterales Handelssystem im Sinne von Artikel 4 Absatz 1 Nummer 15 der Richtlinie 2004/39/EG;

Begründung

Angleichung der Begriffsbestimmung an die Verordnung des Europäischen Parlaments und des Rates über Märkte für Finanzinstrumente und zur Änderung der Verordnung [EMIR] über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister, deren Annahme immer noch aussteht.

Änderungsantrag  56

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 11 c (neu)

Vorschlag der Kommission

Geänderter Text

 

11c) „organisiertes Handelssystem“ (OTF) ein/eine von einer Wertpapierfirma oder einem Marktbetreiber betriebenes multilaterales System oder betriebene multilaterale Fazilität, bei dem/der es sich nicht um einen geregelten Markt oder ein multilaterales Handelssystem oder eine zentrale Gegenpartei handelt und das/die die Interessen einer Vielzahl Dritter am Kauf und Verkauf von Schuldverschreibungen, strukturierten Finanzprodukten, Emissionszertifikaten oder Derivaten innerhalb des Systems in einer Weise zusammenführt, die zu einem Vertrag gemäß Titel II der Richtlinie 2004/39/EG führt;

Begründung

Einführung der Begriffsbestimmung gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte für Finanzinstrumente und zur Änderung der Verordnung [EMIR] über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister, vorbehaltlich ihrer immer noch ausstehenden Annahme.

Änderungsantrag  57

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe e a (neu)

Vorschlag der Kommission

Geänderter Text

 

ea) Die Mitgliedstaaten können die ENISA um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien und ihrer nationalen NIS-Kooperationspläne auf der Grundlage gemeinsamer Mindestanforderungen an NIS-Strategien ersuchen.

Änderungsantrag  58

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) einen Risikobewertungsplan zur Bestimmung der Risiken und zur Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle;

a) einen Rahmen für das Risikomanagement im Hinblick auf die Ausarbeitung von Methoden zur Ermittlung, Priorisierung, Evaluierung und Behandlung von Risiken, die Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle, Präventions- und Kontrollmöglichkeiten sowie auf die Festlegung von Kriterien für die Auswahl möglicher Gegenmaßnahmen;

Begründung

Durch diesen Änderungsantrag wird Änderungsantrag 29 des Entwurfs eines Berichts ersetzt. Der Vorschlag der Kommission wäre, was die Angelegenheiten der nationalen Sicherheit der Mitgliedstaaten angeht, zu weit gegangen; der Kooperationsplan wäre dadurch undurchführbar und zu komplex und folglich ineffizient geworden.

Änderungsantrag  59

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Festlegung der Aufgaben und Zuständigkeiten der verschiedenen an der Umsetzung des Plans Beteiligten;

b) Festlegung der Aufgaben und Zuständigkeiten der verschiedenen Behörden und anderen Akteure, die an der Umsetzung des Rahmens beteiligt sind;

Änderungsantrag  60

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die nationale NIS-Strategie und der nationale NIS-Kooperationsplan werden der Kommission innerhalb eines Monats nach ihrer Annahme mitgeteilt.

3) Die nationale NIS-Strategie und der nationale NIS-Kooperationsplan werden der Kommission innerhalb von drei Monaten nach ihrer Annahme mitgeteilt.

Änderungsantrag  61

Vorschlag für eine Richtlinie

Artikel 6 – Überschrift

Vorschlag der Kommission

Geänderter Text

Für die Netz- und Informationssicherheit zuständige nationale Behörde

Für die Netz- und Informationssicherheit zuständige nationale Behörden und zentrale Anlaufstellen

Änderungsantrag  62

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Behörde (im Folgenden „zuständige Behörde“).

1) Jeder Mitgliedstaat benennt eine oder mehrere zivile, für die Netz- und Informationssicherheit zuständige nationale Behörden (im Folgenden „zuständige Behörden“).

Begründung

Durch diesen Änderungsantrag wird Änderungsantrag 17 des Entwurfs eines Berichts ersetzt, und es soll präzisiert werden, was für eine Einrichtung als nationale zuständige Behörde fungieren sollte.

Änderungsantrag  63

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a) Benennt ein Mitgliedstaat mehr als eine zuständige Behörde, so benennt er eine zivile nationale Behörde, beispielsweise eine zuständige Behörde, als nationale zentrale Anlaufstelle für die Netz- und Informationssicherheit (im Folgenden „zentrale Anlaufstelle“). Benennt ein Mitgliedstaat nur eine zuständige Behörde, so ist diese zuständige Behörde auch die zentrale Anlaufstelle.

Begründung

Dieser Änderungsantrag dient der Ersetzung von Änderungsantrag 33 des Entwurfs eines Berichts und steht im Einklang mit dem neuen Änderungsantrag des Berichterstatters zu Artikel 6 Absatz 1. Es soll präzisiert werden, was für eine Einrichtung als zentrale Anlaufstelle fungieren sollte.

Änderungsantrag  64

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 b (neu)

Vorschlag der Kommission

Geänderter Text

 

2b) Die zuständigen Behörden und die zentrale Anlaufstelle eines Mitgliedstaats arbeiten im Hinblick auf die Verpflichtungen gemäß dieser Richtlinie eng zusammen.

Änderungsantrag  65

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 c (neu)

Vorschlag der Kommission

Geänderter Text

 

2c) Die zentrale Anlaufstelle sorgt für die länderübergreifende Zusammenarbeit mit anderen zentralen Anlaufstellen.

Änderungsantrag  66

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sind, damit sie die ihnen übertragenen Aufgaben wirksam und effizient wahrnehmen und die Ziele dieser Richtlinie erreicht werden. Die Mitgliedstaaten stellen eine wirksame, effiziente und sichere Zusammenarbeit der zuständigen Behörden über das in Artikel 8 genannte Netz sicher.

3) Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden und die zentralen Anlaufstellen mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sind, damit sie die ihnen übertragenen Aufgaben wirksam und effizient wahrnehmen und die Ziele dieser Richtlinie erreicht werden. Die Mitgliedstaaten stellen eine wirksame, effiziente und sichere Zusammenarbeit der zentralen Anlaufstellen über das in Artikel 8 genannte Netz sicher.

Änderungsantrag  67

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4) Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden von öffentlichen Verwaltungen und Marktteilnehmern die Meldungen der Sicherheitsvorfälle nach Artikel 14 Absatz 2 erhalten und ihnen die in Artikel 15 genannten Durchführungs- und Durchsetzungsbefugnisse eingeräumt werden.

4) Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden und die zentralen Anlaufstellen, falls im Sinne von Artikel 2a vorhanden, von den Marktteilnehmern die Meldungen der Sicherheitsvorfälle nach Artikel 14 Absatz 2 erhalten und ihnen die in Artikel 15 genannten Durchführungs- und Durchsetzungsbefugnisse eingeräumt werden.

Begründung

Durch diesen Änderungsantrag wird Änderungsantrag 37 des Entwurfs eines Berichts ersetzt. Im Zuge dieser Änderung sollen die Aufgaben der einzelnen Behörden klargestellt werden, damit die Meldungen nicht sowohl an die zuständigen Behörden als auch an die zentralen Anlaufstellen gehen. Da in einigen Sektoren den Einrichtungen der Union bereits jetzt Sicherheitsvorfälle gemeldet werden, sollten doppelte Meldungen verhindert werden.

Änderungsantrag  68

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

4a) Sehen die Unionsrechtsvorschriften eine sektorbezogene Aufsichts- oder Regulierungsstelle der Union vor, beispielsweise zur Netz- und Informationssicherheit, so werden dieser Stelle Sicherheitsvorfälle im Sinne von Artikel 14 Absatz 2 von den betroffenen Marktteilnehmern des jeweiligen Sektors gemeldet und Umsetzungs- und Durchsetzungsbefugnisse nach Artikel 15 eingeräumt. Diese Stelle der Union arbeitet im Hinblick auf diese Verpflichtungen eng mit den zuständigen Behörden und der zentralen Anlaufstelle des Aufnahmestaats zusammen. Die zentrale Anlaufstelle des Aufnahmestaats vertritt die Stelle der Union im Zusammenhang mit den Verpflichtungen gemäß Kapitel III.

Änderungsantrag  69

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Die zuständigen Behörden konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen.

5) Die zuständigen Behörden und die zentralen Anlaufstellen konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden und arbeiten mit ihnen zusammen.

Änderungsantrag  70

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6) Die Mitgliedstaaten teilen der Kommission unverzüglich die Benennung der zuständigen Behörde, deren Aufgaben sowie etwaige spätere Änderungen mit. Die Mitgliedstaaten machen die Benennung der zuständigen Behörde öffentlich bekannt.

6) Die Mitgliedstaaten teilen der Kommission unverzüglich die Benennung der zuständigen Behörden und der zentralen Anlaufstelle, deren Aufgaben sowie etwaige spätere Änderungen mit. Die Mitgliedstaaten machen die Benennung der zuständigen Behörden öffentlich bekannt.

Änderungsantrag  71

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Jeder Mitgliedstaat richtet ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

1) Jeder Mitgliedstaat richtet mindestens ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) für jeden in Anhang II festgelegten Bereich ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

Änderungsantrag  72

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Das CERT untersteht der Aufsicht der zuständigen Behörde, die die Angemessenheit der ihm zur Verfügung gestellten Ressourcen, sein Mandat und die Wirksamkeit seines Verfahrens zur Bewältigung von Sicherheitsvorfällen regelmäßig überprüft.

5) Die CERTs unterstehen der Aufsicht der zuständigen Behörde oder der zentralen Anlaufstelle, die die Angemessenheit der ihnen zur Verfügung gestellten Ressourcen, ihre Mandate und die Wirksamkeit ihrer Verfahren zur Bewältigung von Sicherheitsvorfällen regelmäßig überprüft.

Änderungsantrag  73

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a) Die Mitgliedstaaten stellen sicher, dass die CERTs mit angemessenen personellen und finanziellen Ressourcen ausgestattet sind, damit sie sich aktiv an internationalen Kooperationsnetzen und insbesondere Kooperationsnetzen der Union beteiligen können.

Änderungsantrag  74

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5 b (neu)

Vorschlag der Kommission

Geänderter Text

 

5b) Die CERTs werden in die Lage versetzt und aufgefordert, gemeinsame Übungen mit bestimmten CERTs, mit den CERTs aller Mitgliedstaaten und mit entsprechenden Einrichtungen Staaten außerhalb der EU sowie mit CERTs von multinationalen und internationalen Institutionen wie NATO und VN zu initiieren und sich daran zu beteiligen.

Änderungsantrag  75

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5 c (neu)

Vorschlag der Kommission

Geänderter Text

 

5c) Die Mitgliedstaaten können die ENISA oder andere Mitgliedstaaten um Unterstützung bei der Entwicklung ihrer nationalen CERTs ersuchen.

Änderungsantrag  76

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Die zuständigen Behörden und die Kommission bilden ein Netz (im Folgenden „Kooperationsnetz“) für die Zusammenarbeit bei der Bewältigung von Sicherheitsrisiken und ‑vorfällen, die Netze und Informationssysteme betreffen.

1) Die zentralen Anlaufstellen, die Kommission und die ENISA bilden ein Netz (im Folgenden „Kooperationsnetz“) für die Zusammenarbeit bei der Bewältigung von Sicherheitsrisiken und ‑vorfällen, die Netze und Informationssysteme betreffen.

Änderungsantrag 77

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2) Die Kommission und die zuständigen Behörden stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage kann die Europäische Agentur für Netz- und Informationssicherheit (ENISA) das Kooperationsnetz mit Know-how und Beratung unterstützen.

2) Die Kommission und die zentralen Anlaufstellen stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage kann die ENISA das Kooperationsnetz mit Know-how und Beratung unterstützen. Die Marktteilnehmer und Anbieter von Cybersicherheitslösungen können, falls notwendig, auch aufgefordert werden, an den Aufgaben des Kooperationsnetzes nach Absatz 3 Buchstaben g und i mitzuwirken.

 

Das Kooperationsnetz arbeitet, falls notwendig, mit den Datenschutzbehörden zusammen.

 

Die Kommission informiert das Kooperationsnetz regelmäßig über die Sicherheitsforschung und andere entsprechende Programme von Horizont 2020.

Änderungsantrag  78

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die zuständigen Behörden haben innerhalb des Netzes folgende Aufgaben:

3) Die zentralen Anlaufstellen haben innerhalb des Netzes folgende Aufgaben:

a) Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen nach Artikel 10;

a) Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen nach Artikel 10;

b) Gewährleistung einer koordinierten Reaktion nach Artikel 11;

b) Gewährleistung einer koordinierten Reaktion nach Artikel 11;

c) regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

c) regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

d) auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

d) die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

e) auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;

e) die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;

f) Zusammenarbeit und Informationsaustausch in Bezug auf alle einschlägigen Angelegenheiten mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und Gesundheit;

f) Zusammenarbeit und Austausch von Fachwissen in Bezug auf einschlägige Angelegenheiten der Netz- und Informationssicherheit, vor allem in den Bereichen Datenschutz, Energie, Verkehr, Banken, Finanzmärkte und Gesundheit, mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen EU-Einrichtungen;

 

fa) falls angezeigt, Übermittlung von Informationen an den EU-Koordinator für die Terrorismusbekämpfung in Form eines Berichts; sie können auch um Unterstützung bei Analysen, Vorbereitungstätigkeiten und Maßnahmen des Kooperationsnetzes ersuchen;

g) Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

g) Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

h) Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;

 

i) Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.

i) Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.

 

ia) Einbeziehung, Konsultation und, falls notwendig, Informationsaustausch mit Marktteilnehmern, über Sicherheitsrisiken und -vorfälle, durch die deren Netze und Informationssysteme beeinträchtigt werden;

 

ib) in Zusammenarbeit mit der ENISA die Ausarbeitung von Leitlinien für sektorbezogene Kriterien im Hinblick auf die Meldung von Sicherheitsvorfällen mit beträchtlichen Auswirkungen, zusätzlich zu den Parametern nach Artikel 14 Absatz 2, zur gemeinsamen Auslegung, konsequenten Anwendung und harmonisierten Umsetzung innerhalb der Union.

Änderungsantrag  79

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a) Das Kooperationsnetz veröffentlicht einmal jährlich einen Bericht über die vorangegangenen 12 Monate, der sich auf seine Aufgaben bezieht und auf dem gemäß Artikel 14 Absatz 4 dieser Richtlinie vorgelegten zusammenfassenden Berichts beruht.

Änderungsantrag  80

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4) Die Kommission legt mittels Durchführungsrechtsakten die erforderlichen Modalitäten für eine Erleichterung der in den Absätzen 2 und 3 genannten Zusammenarbeit zwischen den zuständigen Behörden und der Kommission fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 2 genannten Konsultationsverfahren angenommen.

4) Die Kommission legt mittels Durchführungsrechtsakten die erforderlichen Modalitäten für eine Erleichterung der in den Absätzen 2 und 3 genannten Zusammenarbeit zwischen den zentralen Anlaufstellen, der Kommission und der ENISA fest. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 19 Absatz 3 genannten Prüfverfahren erlassen.

Änderungsantrag  81

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a) In allen Verarbeitungsphasen werden bei der Mitwirkung an der sicheren Infrastruktur unter anderem geeignete Vertraulichkeits- und Sicherheitsmaßnahmen gemäß der Richtlinie 95/46/EG und der Verordnung (EG) Nr. 45/2001 getroffen.

Änderungsantrag  82

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2) Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, die die Festlegung von Kriterien im Hinblick auf nachstehende Aspekte betreffen, die ein Mitgliedstaat zu erfüllen hat, um für die Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden:

entfällt

a) die Verfügbarkeit einer sicheren, robusten Kommunikations- und Informationsinfrastruktur auf nationaler Ebene, die mit der sicheren Infrastruktur des Kooperationsnetzes nach Artikel 7 Absatz 3 kompatibel und interoperabel ist;

 

b) die Verfügbarkeit adäquater technischer, finanzieller und personeller Ressourcen und Verfahren für die zuständigen Behörde und das CERT, durch die eine wirksame, effiziente und sichere Teilnahme am sicheren System für den Informationsaustausch nach Artikel 6 Absatz 3, Artikel 7 Absatz 2 und Artikel 7 Absatz 3 ermöglicht wird.

 

Änderungsantrag  83

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die Kommission erlässt nach den in den Absätzen 2 und 3 genannten Kriterien mittels Durchführungsrechtsakten Beschlüsse über den Zugang der Mitgliedstaaten zu dieser sicheren Infrastruktur. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

3) Die Kommission erlässt mittels delegierter Rechtsakte ein Paket mit gemeinsamen Verbindungs- und Sicherheitsstandards, die zentrale Anlaufstellen erfüllen müssen, bevor sensible und vertrauliche Informationen über das Kooperationsnetz ausgetauscht werden.

Änderungsantrag  84

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Die zuständigen Behörden oder die Kommission geben im Kooperationsnetz Frühwarnungen zu solchen Sicherheitsrisiken und -vorfällen aus, die mindestens eine der folgenden Voraussetzungen erfüllen:

1) Die zentralen Anlaufstellen oder die Kommission geben im Kooperationsnetz Frühwarnungen zu solchen Sicherheitsrisiken und -vorfällen aus, die mindestens eine der folgenden Voraussetzungen erfüllen:

a) sie weiten sich rasch aus oder können sich rasch ausweiten;

 

b) sie übersteigen die nationale Reaktionskapazität oder können diese übersteigen;

b) die zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall die nationale Reaktionskapazität möglicherweise übersteigt;

c) sie betreffen oder können mehr als einen Mitgliedstaat betreffen.

c) die zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall mehr als einen Mitgliedstaat betrifft.

Änderungsantrag  85

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2) Bei Frühwarnungen stellen die zuständigen Behörden und die Kommission alle in ihrem Besitz befindlichen relevanten Informationen zur Verfügung, die für die Beurteilung der Sicherheitsrisiken oder -vorfälle von Nutzen sein können.

2) Bei Frühwarnungen stellen die zentralen Anlaufstellen und die Kommission unverzüglich alle in ihrem Besitz befindlichen relevanten Informationen zur Verfügung, die für die Beurteilung der Sicherheitsrisiken oder ‑vorfälle von Nutzen sein können.

Änderungsantrag  86

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante Informationen zu einem bestimmten Sicherheitsrisiko oder -vorfall vorzulegen.

entfällt

Änderungsantrag  87

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4) Hat das der Frühwarnung zugrundeliegende Sicherheitsrisiko bzw. der Sicherheitsvorfall einen mutmaßlich kriminellen Hintergrund, informieren die zuständigen Behörden oder die Kommission das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität.

4) Hat das Sicherheitsrisiko oder der Sicherheitsvorfall, für das bzw. den eine Frühwarnung ausgegeben werden muss, mutmaßlich einen kriminellen Hintergrund und hat der betroffene Marktteilnehmer Sicherheitsvorfälle mit mutmaßlich schwerwiegendem kriminellem Hintergrund nach Artikel 15 Absatz 4 gemeldet, sorgen die Mitgliedstaaten dafür, dass gegebenenfalls das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität informiert wird.

Änderungsantrag  88

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

4a) Die Mitglieder des Kooperationsnetzes dürfen Informationen über Sicherheitsrisiken und -vorfälle im Sinne von Absatz 1 ohne vorherige Genehmigung der zentralen Anlaufstelle, die die Meldung übermittelt hat, nicht veröffentlichen.

 

Darüber hinaus informiert die zentrale Anlaufstelle, die die Meldung übermittelt, vor der Weitergabe von Informationen über das Kooperationsnetz den Marktteilnehmer, auf den sich die Maßnahme bezieht, und anonymisiert die entsprechenden Informationen, sofern sie es für notwendig erachtet.

Änderungsantrag  89

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 4 b (neu)

Vorschlag der Kommission

Geänderter Text

 

4b) Hat das Sicherheitsrisiko oder der Sicherheitsvorfall, für das bzw. den eine Frühwarnung ausgegeben werden muss, mutmaßlich einen schwerwiegenden länderübergreifenden technischen Hintergrund, informieren die zentralen Anlaufstellen oder die Kommission die ENISA.

Änderungsantrag  90

Vorschlag für eine Richtlinie

Artikel 11 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Im Anschluss an eine Frühwarnung nach Artikel 10 einigen sich die zuständigen Behörden nach einer Bewertung der einschlägigen Informationen auf eine koordinierte Reaktion gemäß dem in Artikel 12 genannten NIS-Kooperationsplan der Union.

1) Im Anschluss an eine Frühwarnung nach Artikel 10 einigen sich die zentralen Anlaufstellen unverzüglich nach einer Bewertung der einschlägigen Informationen auf eine koordinierte Reaktion gemäß dem in Artikel 12 genannten NIS-Kooperationsplan der Union.

Änderungsantrag  91

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 2 – Buchstabe a – Spiegelstrich 1

Vorschlag der Kommission

Geänderter Text

– die Festlegung der Form und der Verfahren für die Einholung und den Austausch geeigneter und vergleichbarer Informationen über Sicherheitsrisiken und ‑vorfälle durch die zuständigen Behörden,

– die Festlegung der Form und der Verfahren für die Einholung und den Austausch geeigneter und vergleichbarer Informationen über Sicherheitsrisiken und ‑vorfälle durch die zentralen Anlaufstellen,

Änderungsantrag  92

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Der NIS-Kooperationsplan wird spätestens ein Jahr nach dem Inkrafttreten dieser Richtlinie angenommen und regelmäßig überarbeitet.

3) Der NIS-Kooperationsplan wird spätestens ein Jahr nach dem Inkrafttreten dieser Richtlinie angenommen und regelmäßig überarbeitet. Über die Ergebnisse jeder Überarbeitung wird dem Europäischen Parlament Bericht erstattet.

Änderungsantrag  93

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a) Es wird dafür gesorgt, dass der NIS-Kooperationsplan der Union mit den nationalen NIS-Strategien und den nationalen NIS-Kooperationsplänen gemäß Absatz 5 dieser Richtlinie im Einklang steht.

Änderungsantrag  94

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Notwendigkeit eines angemessenen Schutzes der im Kooperationsnetz zirkulierenden personenbezogenen Daten Rechnung getragen.

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Tatsache Rechnung getragen, dass die im Kooperationsnetz zirkulierenden personenbezogenen Daten angemessen geschützt werden müssen, und das Kontrollverfahren angegeben, das anzuwenden ist, um für den Schutz der im Kooperationsnetz zirkulierenden personenbezogenen Daten Sorge zu tragen. Das Europäische Parlament wird über die Aushandlung der Vereinbarungen unterrichtet. Die Übermittlung personenbezogener Daten an Empfänger in Ländern außerhalb der Union erfolgt nach Maßgabe der Artikel 25 und 26 der Richtlinie 95/46/EG und des Artikels 9 der Verordnung (EG) Nr. 45/2001.

Änderungsantrag  95

Vorschlag für eine Richtlinie

Artikel 13 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 13a

 

Kritikalitätsstufe von Marktteilnehmern

 

Die Mitgliedstaaten können die Kritikalitätsstufe von Marktteilnehmern festlegen und berücksichtigen dabei die Besonderheiten der Sektoren, Parameter wie die Bedeutung des jeweiligen Marktteilnehmers für die Aufrechterhaltung des sektorbezogenen Diensts in ausreichendem Umfang, die Anzahl der Dienstempfänger des Marktteilnehmers und die Zeitspanne, ab deren Ablauf die Unterbrechung der Kerndienste des Marktteilnehmers negative Auswirkungen auf die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten hat.

Begründung

Diese Änderung gehört in Kapitel IV und sollte vor Artikel 14 eingefügt werden. Mit diesem Artikel sollen die Klassifizierung in Anhang II und folglich die Verpflichtungen nach Kapitel IV stärker differenziert werden. Alle Marktteilnehmer sollten Sicherheitsvorfälle unabhängig von ihrem Schweregrad melden, während die Art der Sicherheitsprüfungen an die jeweilige Kritikalitätsstufe des Marktteilnehmers angepasst werden kann.

Änderungsantrag  96

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen und Marktteilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Maß an Sicherheit gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihre Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wird.

1) Die Mitgliedstaaten stellen sicher, dass die Marktteilnehmer geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu erkennen und konkret zu bewältigen. Mit diesen Maßnahmen muss unter Berücksichtigung des Standes der Technik für ein Maß an Sicherheit gesorgt werden, das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die die Sicherheit ihrer Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, sichergestellt ist.

Änderungsantrag  97

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2) Die Mitgliedstaaten gewährleisten, dass öffentliche Verwaltungen und Marktteilnehmer den zuständigen Behörden Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Sicherheit der von ihnen bereitgestellten Kerndienste haben.

2) Die Mitgliedstaaten sorgen dafür, dass die Marktteilnehmer der zuständigen Behörde oder der zentralen Anlaufstelle Sicherheitsvorfälle unverzüglich melden, die erhebliche Auswirkungen auf die Kontinuität der von ihnen bereitgestellten Kerndienste haben. Durch die Meldung entsteht der meldenden Partei keine höhere Haftung.

 

Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden unter anderem folgende Parameter herangezogen:

Änderungsantrag  98

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 – Buchstabe a (neu)

Vorschlag der Kommission

Geänderter Text

 

a) die Anzahl der Nutzer, deren Kerndienst betroffen ist;

Änderungsantrag  99

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 – Buchstabe b (neu)

Vorschlag der Kommission

Geänderter Text

 

b) die Dauer des Sicherheitsvorfalls;

Änderungsantrag  100

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 – Buchstabe c (neu)

Vorschlag der Kommission

Geänderter Text

 

c) die geografische Ausbreitung im Sinne des von dem Sicherheitsvorfall betroffenen Gebiets.

Änderungsantrag  101

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 – Unterabsatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Diese Parameter werden im Einklang mit Artikel 8 Absatz 3 Buchstabe ib genauer festgelegt.

Änderungsantrag  102

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a) Die Marktteilnehmer melden den zuständigen Behörden oder der zentralen Anlaufstelle des Mitgliedstaats, in dem ein Kerndienst betroffen ist, die in den Absätzen 1 und 2 genannten Sicherheitsvorfälle. Sind Kerndienste in mehreren Mitgliedstaaten betroffen, so warnt die zentrale Anlaufstelle, bei der die Meldung eingegangen ist, die anderen betroffenen zentralen Anlaufstellen und stützt sich dabei auf die vom Marktteilnehmer übermittelten Angaben. Der Marktteilnehmer wird unverzüglich davon in Kenntnis gesetzt, welche weiteren zentralen Anlaufstellen von dem Sicherheitsvorfall unterrichtet wurden, welche Maßnahmen eingeleitet wurden und zu welchen Ergebnissen dies geführt hat; darüber hinaus erhält er sämtliche Informationen, die für den Sicherheitsvorfall relevant sind.

Änderungsantrag  103

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 b (neu)

Vorschlag der Kommission

Geänderter Text

 

2b) Enthält die Meldung personenbezogene Daten, so dürfen sie nur Empfängern in der zuständigen Behörde oder zentralen Anlaufstelle offengelegt werden, bei der die Meldung eingegangen ist und die diese Daten verarbeiten müssen, um ihre Aufgaben im Einklang mit den Datenschutzvorschriften zu erfüllen. Offengelegt werden dürfen nur Daten, deren Offenlegung notwendig ist, damit die Aufgaben erfüllt werden können.

Änderungsantrag  104

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 c (neu)

Vorschlag der Kommission

Geänderter Text

 

2c) Marktteilnehmer, die in Anhang II nicht aufgeführt sind, können Sicherheitsvorfälle gemäß Artikel 14 Absatz 2 freiwillig melden.

Änderungsantrag  105

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4) Die zuständige Behörde kann die Öffentlichkeit unterrichten oder die öffentliche Verwaltung und die Marktteilnehmer zur Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntmachung des Sicherheitsvorfalls im öffentlichen Interesse liegt.

4) Nach Konsultation der zuständigen Behörde, bei der eine Meldung eingegangen ist, und des betroffenen Marktteilnehmers kann die zentrale Anlaufstelle die Öffentlichkeit über einzelne Sicherheitsvorfälle unterrichten, wenn sie festlegt, dass der Öffentlichkeit der Sachverhalt bekannt sein muss, damit weiteren Sicherheitsvorfällen vorgebeugt werden kann oder noch andauernde Sicherheitsvorfälle behandelt werden können, oder wenn ein von einem Sicherheitsvorfall betroffener Marktteilnehmer es abgelehnt hat, unverzüglich auf eine im Zusammenhang mit diesem Sicherheitsvorfall gravierende strukturelle Schwachstelle zu reagieren.

 

Vor der Bekanntmachung in der Öffentlichkeit muss die zuständige Behörde, bei der die Meldung eingegangen ist, dafür sorgen, dass der betroffene Marktteilnehmer angehört werden kann und dass der Beschluss über die Bekanntmachung in der Öffentlichkeit sorgsam gegen das Interesse der Öffentlichkeit abgewogen wurde.

 

Werden Informationen über einzelne Sicherheitsvorfälle in der Öffentlichkeit bekannt gemacht, so muss die zuständige Behörde oder zentrale Anlaufstelle, bei der die Meldung eingegangen ist, dafür sorgen, dass die Bekanntmachung so anonym wie möglich erfolgt.

 

Wenn es nach vernünftigem Ermessen möglich ist, übermittelt die zuständige Behörde oder die zentrale Anlaufstelle dem betroffenen Marktteilnehmer Informationen, die der konkreten Behandlung des gemeldeten Sicherheitsvorfalls zuträglich sind.

Die zuständige Behörde legt dem Kooperationsnetz jährlich einen zusammenfassenden Bericht über die eingegangenen Meldungen und die nach diesem Absatz ergriffenen Maßnahmen vor.

Die zentrale Anlaufstelle legt dem Kooperationsnetz jährlich einen zusammenfassenden Bericht über die eingegangenen Meldungen mit der Anzahl der Meldungen und unter Nennung der in Absatz 2 aufgeführten Parameter eines Sicherheitsvorfalls und die nach diesem Absatz ergriffenen Maßnahmen vor.

Änderungsantrag  106

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

4a) Die Mitgliedstaaten legen den Marktteilnehmern nahe, Sicherheitsvorfälle, an denen ihre Unternehmen beteiligt sind, freiwillig in ihren Finanzberichten zu veröffentlichen.

Änderungsantrag  107

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, in denen festgelegt wird, unter welchen Umständen bei Sicherheitsvorfällen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt.

entfällt

Änderungsantrag  108

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6) Vorbehaltlich etwaiger nach Absatz 5 erlassener delegierter Rechtsakte können die zuständigen Behörden Leitlinien annehmen und erforderlichenfalls Anweisungen zu den Umständen herausgeben, in denen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt.

6) Die zuständigen Behörden oder die zentralen Anlaufstellen können Leitlinien zu den Umständen erlassen, in denen für Marktteilnehmer die Meldepflicht gilt.

Änderungsantrag  109

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 8

Vorschlag der Kommission

Geänderter Text

8) Die Absätze 1 und 2 gelten nicht für Kleinstunternehmen im Sinne der Definition der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen35.

8) Die Absätze 1 und 2 gelten nicht für Kleinstunternehmen im Sinne der Definition der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen35, es sei denn, das Kleinstunternehmen ist als Tochterunternehmen eines Marktteilnehmers im Sinne von Artikel 3 Nummer 8 Buchstabe b tätig.

_____________

_____________

35 ABl. L 124 vom 20.5.2003, S. 36.

35 ABl. L 124 vom 20.5.2003, S. 36.

Änderungsantrag  110

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

8a) Die Mitgliedstaaten können beschließen, diesen Artikel und Artikel 15 entsprechend auf öffentliche Verwaltungen anzuwenden.

Änderungsantrag  111

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Die Mitgliedstaaten gewährleisten, dass den zuständigen Behörden alle Befugnisse eingeräumt werden, die für die Untersuchung von Verstößen der öffentlichen Verwaltungen oder der Marktteilnehmer gegen die Verpflichtungen des Artikels 14 sowie deren Auswirkungen auf die Netz- und Informationssicherheit erforderlich sind.

1) Die Mitgliedstaaten sorgen dafür, dass den zuständigen Behörden und den zentralen Anlaufstellen die Befugnisse eingeräumt werden, die diese benötigen, um sicherzustellen, dass die Marktteilnehmer ihren Verpflichtungen gemäß Artikel 14 sowie deren Auswirkungen auf die Netz- und Informationssicherheit nachkommen.

Änderungsantrag  112

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 2 – Einleitung

Vorschlag der Kommission

Geänderter Text

2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, von den Marktteilnehmern und den öffentlichen Verwaltungen zu verlangen, dass sie

2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen befugt sind, von den Marktteilnehmern zu verlangen, dass sie

Änderungsantrag  113

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen nationalen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln.

b) Belege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorlegen, beispielsweise die Ergebnisse einer Sicherheitsüberprüfung, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen nationalen Behörde durchgeführt wird, und der zuständigen Behörde oder der zentralen Anlaufstelle die Belege übermitteln;

Änderungsantrag  114

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 2 – Unterabsatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Die zuständigen Behörden und die zentralen Anlaufstellen nennen bei Übermittlung ihres Ersuchens dessen Zweck und geben hinreichend genau an, welche Angaben verlangt werden.

Änderungsantrag  115

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Marktteilnehmern und öffentlichen Verwaltungen verbindliche Anweisungen zu erteilen.

3) Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen befugt sind, Marktteilnehmern verbindliche Anweisungen zu erteilen.

Änderungsantrag  116

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 3 a und Absatz 3 b (neu)

Vorschlag der Kommission

Geänderter Text

 

3a) Abweichend von Absatz 2 Buchstabe b können die Mitgliedstaaten beschließen, dass die zuständigen Behörden oder die zentralen Anlaufstellen auf der Grundlage der nach Artikel 13a festgelegten jeweiligen Kritikalitätsstufe auf bestimmte Marktteilnehmer ein anderes Verfahren anwenden. In diesem Fall

 

a) sind die zuständigen Behörden bzw. zentralen Anlaufstellen befugt, den Marktteilnehmern eine hinreichend spezifische Aufforderung zu übermitteln, mit der Auflage, Belege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorzulegen, beispielsweise die Ergebnisse einer Sicherheitsüberprüfung, die von einem qualifizierten internen Prüfer durchgeführt wurde, und die Belege an die zuständige Behörde oder die zentrale Anlaufstelle zu übermitteln;

 

b) kann die zuständige Behörde oder die zentrale Anlaufstelle nach Übermittlung der Auskünfte durch den Marktteilnehmer gemäß Buchstabe a bei Bedarf zusätzliche Belege oder eine zusätzliche Überprüfung durch eine qualifizierte unabhängige Stelle oder eine nationale Behörde anfordern.

 

3b) Die Mitgliedstaaten können die Häufigkeit und Intensität der Überprüfungen eines Marktteilnehmers verringern, wenn aus der Sicherheitsüberprüfung hervorgeht, dass er seinen Verpflichtungen nach Kapitel IV durchgehend nachgekommen ist.

Änderungsantrag  117

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4) Die zuständigen Behörden melden den Strafverfolgungsbehörden Sicherheitsvorfälle, bei denen ein schwerwiegender krimineller Hintergrund vermutet wird.

4) Die zuständigen Behörden und die zentralen Anlaufstellen unterrichten die betroffenen Marktteilnehmer über die Möglichkeit, den Strafverfolgungsbehörden Sicherheitsvorfälle mit mutmaßlich schwerwiegendem kriminellem Hintergrund zu melden.

Änderungsantrag  118

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, arbeiten die zuständigen Behörden eng mit den Datenschutzbehörden zusammen.

5) Unbeschadet der geltenden Datenschutzvorschriften arbeiten die zuständigen Behörden und zentralen Anlaufstellen bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, eng mit den Datenschutzbehörden zusammen. Die zentralen Anlaufstellen und die Datenschutzbehörden arbeiten gemeinsam mit der ENISA Mechanismen für den Informationsaustausch und ein einheitliches Muster aus, mit denen bzw. dem Meldungen gemäß Artikel 14 Absatz 2 dieser Richtlinie und weiteren Unionsrechtsvorschriften über den Datenschutz übermittelt werden.

Änderungsantrag  119

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6) Die Mitgliedstaaten gewährleisten, dass alle Verpflichtungen, die öffentlichen Verwaltungen oder Marktteilnehmern nach diesem Kapitel auferlegt werden, einer gerichtlichen Nachprüfung unterzogen werden können.

6) Die Mitgliedstaaten sorgen dafür, dass alle Verpflichtungen, die Marktteilnehmern nach diesem Kapitel auferlegt werden, einer gerichtlichen Nachprüfung unterzogen werden können.

Änderungsantrag  120

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 6 a (neu)

Vorschlag der Kommission

Geänderter Text

 

6a) Die Mitgliedstaaten können beschließen, Artikel 14 und diesen Artikel entsprechend auf öffentliche Verwaltungen anzuwenden.

Änderungsantrag  121

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Um eine einheitliche Umsetzung des Artikels 14 Absatz 1 zu gewährleisten, fördern die Mitgliedstaaten die Anwendung einschlägiger Normen und/oder Spezifikationen für die Netz- und Informationssicherheit.

1) Damit Artikel 14 Absatz 1 einheitlich umgesetzt wird, fördern die Mitgliedstaaten die Anwendung einschlägiger europäischer oder internationaler interoperabler Normen und/oder Spezifikationen für die Netz- und Informationssicherheit, ohne jedoch die Anwendung einer bestimmten Technologie vorzuschreiben.

Änderungsantrag  122

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2) Die Kommission stellt mittels Durchführungsrechtsakten eine Liste der in Absatz 1 genannten Normen auf. Diese Liste wird im Amtsblatt der Europäischen Union veröffentlicht.

2) Die Kommission erteilt dem zuständigen europäischen Normungsgremium nach Rücksprache mit den maßgeblichen Interessenträgern das Mandat zur Erstellung einer Liste mit den in Absatz 1 genannten Normen und/oder Spezifikationen. Diese Liste wird im Amtsblatt der Europäischen Union veröffentlicht.

Änderungsantrag  123

Vorschlag für eine Richtlinie

Artikel 17 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a) Die Mitgliedstaaten sorgen dafür, dass die Sanktionen nach Absatz 1 nur greifen, wenn der Marktteilnehmer seinen Verpflichtungen nach Kapitel IV vorsätzlich oder grob fahrlässig nicht nachgekommen ist.

Änderungsantrag  124

Vorschlag für eine Richtlinie

Artikel 18 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die in Artikel 9 Absatz 2, Artikel 10 Absatz 5 und Artikel 14 Absatz 5 genannte Befugnisübertragung kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit der bereits in Kraft getretenen delegierten Rechtsakte.

3) Die Befugnisübertragung gemäß Artikel 9 Absatz 2 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.

Änderungsantrag  125

Vorschlag für eine Richtlinie

Artikel 18 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Ein delegierter Rechtsakt, der nach Artikel 9 Absatz 2, Artikel 10 Absatz 5 und Artikel 14 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben hat oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Diese Frist wird auf Initiative des Europäischen Parlaments oder des Rates um zwei Monate verlängert.

5) Ein delegierter Rechtsakt, der gemäß Artikel 9 Absatz 2 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Änderungsantrag  126

Vorschlag für eine Richtlinie

Artikel 20 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Die Kommission überprüft das Funktionieren dieser Richtlinie regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Die Kommission überprüft das Funktionieren dieser Richtlinie und insbesondere die Liste in Anhang II regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Änderungsantrag  127

Vorschlag für eine Richtlinie

Anhang I – Überschrift

Vorschlag der Kommission

Geänderter Text

IT-Notfallteam (Computer Emergency Response Team, CERT) – Anforderungen und Aufgaben

IT-Notfallteams (Computer Emergency Response Teams, CERTs) – Anforderungen und Aufgaben

Änderungsantrag  128

Vorschlag für eine Richtlinie

Anhang I – Nummer 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) Das CERT gewährleistet die hohe Verfügbarkeit seiner Kommunikationsdienste durch Vermeidung kritischer Ausfallverursacher und durch Bereitstellung verschiedener Kanäle, damit das CERT ständig erreichbar bleibt und selbst Kontakt aufnehmen kann. Die Kommunikationskanäle müssen genau spezifiziert sein und den CERT-Nutzern (Constituency) und Kooperationspartnern bekannt gegeben werden.

a) Die CERTs sorgen für die hohe Verfügbarkeit ihrer Kommunikationsdienste, indem sie punktuellen Ausfällen vorbeugen und mehrere Kanäle bereitstellen, damit die CERTs ständig erreichbar bleiben und selbst Kontakt untereinander aufnehmen können. Die Kommunikationskanäle müssen genau spezifiziert sein und den CERT-Nutzern (Constituency) und Kooperationspartnern bekannt gegeben werden.

Änderungsantrag  129

Vorschlag für eine Richtlinie

Anhang I – – Nummer 1 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

c) Die CERT-Dienststellen und die unterstützenden Informationssysteme werden an sicheren Standorten eingerichtet.

c) Die CERTs-Dienststellen und die unterstützenden Informationssysteme werden an sicheren Standorten und mit gesicherten Netzen und Informationssystemen eingerichtet.

Änderungsantrag  130

Vorschlag für eine Richtlinie

Anhang I – Nummer 2 – Buchstabe a – Spiegelstrich 1

Vorschlag der Kommission

Geänderter Text

– Überwachung von Sicherheitsvorfällen auf nationaler Ebene;

Erkennung und Überwachung von Sicherheitsvorfällen auf nationaler Ebene;

Änderungsantrag  131

Vorschlag für eine Richtlinie

Anhang I – Nummer 2 – Buchstabe a – Spiegelstrich 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

– aktive Mitwirkung in internationalen CERT-Kooperationsnetzen sowie CERT-Kooperationsnetzen der Union;

Änderungsantrag  132

Vorschlag für eine Richtlinie

Anhang II – Einleitung

Vorschlag der Kommission

Geänderter Text

Liste der Marktteilnehmer

Liste der Marktteilnehmer

nach Artikel 3 Absatz 8 Buchstabe a

 

1. Plattformen des elektronischen Geschäftsverkehrs

 

2. Internet-Zahlungs-Gateways

 

3. Soziale Netze

 

4. Suchmaschinen

 

5. Cloud-Computing-Dienste

 

6. Application Stores

 

nach Artikel 3 Absatz 8 Buchstabe b

 

Änderungsantrag  133

Vorschlag für eine Richtlinie

Anhang II – Nummer 1

Vorschlag der Kommission

Geänderter Text

Liste der Marktteilnehmer

Liste der Marktteilnehmer

1. Energie

1. Energie

 

a) Strom

– Strom- und Gasversorger

– Lieferanten

– Verteilernetzbetreiber und Endkundenlieferanten im Strom- und/oder Gassektor

– Fernleitungsnetzbetreiber und Endkundenlieferanten

– Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und LNG-Anlagenbetreiber

 

– Übertragungsnetzbetreiber (Strom)

– Übertragungsnetzbetreiber (Strom)

 

b) Erdöl

– Erdöl-Fernleitungen und Erdöllager

– Erdölfernleitungen und Erdöllager

 

– Betreiber von Anlagen zur Produktion, Raffination und Behandlung von Erdöl, Betreiber von Erdöllagern und ‑fernleitungen

 

c) Erdgas

– Strom- und Gasmarktteilnehmer

– Lieferanten

 

– Fernleitungsnetzbetreiber und Endkundenlieferanten

 

– Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und LNG-Anlagenbetreiber

Betreiber von Erdöl- und Erdgas-Produktions-, -Raffinations- und Behandlungsanlagen

Betreiber von Anlagen zur Produktion, Raffination und Behandlung von Erdgas, Betreiber von Erdgasspeichern und ‑fernleitungen

 

– Marktteilnehmer (Erdgas)

Änderungsantrag  134

Vorschlag für eine Richtlinie

Anhang II – Nummer 2

Vorschlag der Kommission

Geänderter Text

2. Verkehr

2. Verkehr

– Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)

a) Straßenverkehr

– Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der See- und Küstenschifffahrt)

i) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

– Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)

ii) unterstützende Logistikdienste:

– Flughäfen

– Lagerhaltung und Lagerung

– Häfen

– Frachtumschlagsleistungen und

– Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

– andere unterstützende Verkehrsleistungen

– Unterstützende Logistikdienste: a) Lagerhaltung und Lagerung b) Frachtumschlagsleistungen und c) andere unterstützende Verkehrsleistungen

b) Schienenverkehr

 

i) Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)

 

ii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

 

iii) unterstützende Logistikdienste:

 

– Lagerhaltung und Lagerung

 

– Frachtumschlagsleistungen und

 

– andere unterstützende Verkehrsleistungen

 

c) Luftverkehr

 

i) Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)

 

ii) Flughäfen

 

iii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

 

iv) unterstützende Logistikdienste:

 

– Lagerhaltung

 

– Frachtumschlagsleistungen und

 

– andere unterstützende Verkehrsleistungen

 

d) Seeverkehr

 

i) Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der Binnen-, See- und Küstenschifffahrt)

Änderungsantrag  135

Vorschlag für eine Richtlinie

Anhang II – Nummer 4

Vorschlag der Kommission

Geänderter Text

4. Finanzmarktinfrastrukturen: Börsen und Clearingstellen mit zentraler Gegenpartei

4. Finanzmarktinfrastrukturen: geregelte Märkte, multilaterale Handelssysteme, organisierte Handelssysteme und Clearingstellen mit zentraler Gegenpartei

Änderungsantrag  136

Vorschlag für eine Richtlinie

Anhang II – Nummer 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a. Wassergewinnung und ‑versorgung

Änderungsantrag  137

Vorschlag für eine Richtlinie

Anhang II – Nummer 5 b (neu)

Vorschlag der Kommission

Geänderter Text

 

5b. Lebensmittelversorgungskette

Änderungsantrag  138

Vorschlag für eine Richtlinie

Anhang II – Nummer 5 c (neu)

Vorschlag der Kommission

Geänderter Text

 

5c. Internet-Knoten

(1)

ABl. C 0 vom 0.0.0000, S. 0 (noch nicht im Amtsblatt veröffentlicht).

(2)

Angenommene Texte, P7_TA(2013)0376.


BEGRÜNDUNG

1. Hintergrund

Bereits 2010 wurde in der Digitalen Agenda für Europa die Einführung eines Legislativinstruments für eine Politik zur Stärkung der Netz- und Informationssicherheit auf hohem Niveau gefordert. Da die Netze und Informationssysteme miteinander vernetzt sind, können durch gravierende Störungen solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft gezogen werden. Robuste, stabile Netze und Informationssysteme sowie die Kontinuität der Kerndienste sind für das reibungslose Funktionieren des Binnenmarkts und insbesondere für den Ausbau des digitalen Binnenmarkts von entscheidender Bedeutung.

Da es in der Union große Unterschiede in Bezug auf die Kapazitäten und uneinheitliche Ansätze gibt, strebt die Kommission in ihrem Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union an, die Sicherheit des Internets und der privaten Netze und Informationssysteme, die zum Funktionieren der Gesellschaften und Volkswirtschaften in der EU beitragen, zu verbessern.

Zu diesem Zweck schreibt die Kommission den Mitgliedstaaten vor, ihre Abwehrbereitschaft zu erhöhen und die Zusammenarbeit zu verbessern. In diesem Zusammenhang sollten die Betreiber kritischer Infrastrukturen wie Energieversorgungsunternehmen, Verkehrsunternehmen und wichtige Anbieter von Diensten der Informationsgesellschaft und auch die öffentlichen Verwaltungen verpflichtet werden, geeignete Maßnahmen zur Beherrschung von Sicherheitsrisiken zu treffen und den zuständigen nationalen Behörden gravierende Sicherheitsvorfälle zu melden.

2. Entwurf eines Berichts

Der Berichterstatter unterstützt das Gesamtziel der vorgeschlagenen Richtlinie – die Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit. Diese Richtlinie sollte, damit die vorgeschlagenen Maßnahmen noch besser wirken, anfangs nur bestimmte Betreiber betreffen, bereits getätigte Investitionen in die Netz- und Informationssicherheit sollten in der Richtlinie geschützt werden, und es sollten weder doppelte institutionelle Strukturen eingerichtet noch den Marktteilnehmern doppelte Verpflichtungen auferlegt werden. Außerdem sollte mit dieser Richtlinie der Aufbau vertrauensvoller Beziehungen und eines vertrauensvollen Austauschs zwischen öffentlichen und privaten Akteuren gefördert werden; von unerwünschten Denk- und Verhaltensweisen wie dem bloßen Einhalten von Vorschriften sollte Abstand genommen werden, und stattdessen sollte das erwünschte Risikomanagement betrieben werden. Deshalb wird vorgeschlagen, die Wirksamkeit dieser Richtlinie durch die folgenden wesentlichen Änderungen zu verbessern.

A. Geltungsbereich

Im Richtlinienentwurf wird darauf abgezielt, öffentlichen Verwaltungen und Marktteilnehmern Verpflichtungen aufzuerlegen, auch in Bezug auf kritische Infrastrukturen und Dienste der Informationsgesellschaft. Der Berichterstatter ist der Ansicht, dass die verbindlichen Maßnahmen des Kapitels IV auf kritische Infrastrukturen in einem engeren Sinne beschränkt werden sollten, damit die Verhältnismäßigkeit gewahrt wird und die Richtlinie rasch Ergebnisse zeitigt. Dienste der Informationsgesellschaft sollten deshalb nicht in Anhang II der Richtlinie aufgeführt werden. Vielmehr sollte der Schwerpunkt dieser Richtlinie auf Marktteilnehmern liegen, die ihre Dienstleistungen beispielsweise in den Bereichen Energie, Verkehr, Gesundheit und Finanzmarktinfrastrukturen erbringen.

Aufgrund ihres öffentlichen Auftrags müssen öffentliche Verwaltungen gebührende Sorgfalt beim Betrieb ihrer Netze und Informationssysteme walten lassen. Deshalb dürfte es nicht verhältnismäßig sein, ihnen dieselben Verpflichtungen wie Marktteilnehmern aufzuerlegen.

Zusätzlich zu den Änderungen des Geltungsbereichs spricht sich der Berichterstatter dafür aus, dass Anhang II nicht als erschöpfende Liste angesehen und die Richtlinie regelmäßig überarbeitet werden sollte, auch um neuen technologischen Entwicklungen Rechnung tragen zu können.

B. Zuständige nationale Behörden

Im Richtlinienvorschlag ist vorgesehen, dass eine zuständige nationale Behörde pro Mitgliedstaat benannt wird, in deren Zuständigkeit es liegt, die Umsetzung der Richtlinie zu überwachen. Der Berichterstatter vertritt die Auffassung, dass damit den bereits bestehenden Strukturen nicht angemessen Rechnung getragen wird.

In bestimmten Sektoren, die in den Geltungsbereich dieser Richtlinie fallen, melden die Marktteilnehmer ihrer jeweiligen sektorspezifischen Regulierungsbehörde bereits jetzt formell oder informell bestimmte Sicherheitsvorfälle, die die Netz- und Informationssicherheit betreffen. Dank der direkten Verbindungen und engen Beziehungen zu den jeweiligen Sektoren sind diesen Behörden die jeweiligen Bedrohungen und Schwachstellen bestens bekannt, sodass sie sich in einer besonders günstigen Position befinden, was die Bewertung der Auswirkungen potenzieller oder aktueller Sicherheitsvorfälle im jeweiligen Sektor anbelangt.

Neben den bereits getätigten Investitionen in bestimmten Sektoren sind einige Mitgliedstaaten durch ihre Verfasstheit oder aus anderen Gründen möglicherweise gehalten, mehrere zuständige nationale Behörden zu benennen. Deshalb wird vorgeschlagen, die Richtlinie so zu ändern, dass pro Mitgliedstaat auch mehrere zuständige Behörden benannt werden können. Allerdings sollte jeder Mitgliedstaat, um für eine einheitliche Anwendung innerhalb eines Mitgliedstaats und für eine effiziente und rationelle Zusammenarbeit auf Unionsebene zu sorgen, eine zentrale Anlaufstelle benennen, die unter anderem für die Mitwirkung am Kooperationsnetz nach Artikel 8 und für die Übermittlung von Frühwarnungen nach Artikel 10 zuständig ist

C. Kooperationsnetz

Der Berichterstatter ist der Ansicht, dass im Hinblick auf eine Ausweitung der Aufgaben des Kooperationsnetzes geprüft werden sollte, ob Marktteilnehmer, falls notwendig, zur Mitwirkung aufgefordert werden sollten. Darüber hinaus könnten in einem jährlichen Bericht über die Erfüllung der Aufgaben durch das Kooperationsnetz wertvolle Informationen über Fortschritte beim Austausch bewährter Verfahren zwischen den Mitgliedstaaten und über Entwicklungen bei der Meldung von Sicherheitsvorfällen in der Union zusammengestellt werden.

D. Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen

Die Hauptneuerung im Vorschlag für eine Richtlinie betrifft die Einführung einer verbindlichen Mitteilung der Marktteilnehmer über Sicherheitsvorfälle mit gravierenden Auswirkungen auf die Sicherheit von Kerndiensten. Der Berichterstatter regt an, die delegierten Rechtsakte nach Artikel 14 Absatz 5 durch klare Kriterien für die Feststellung des Ausmaßes von meldepflichtigen Sicherheitsvorfällen zu ersetzen, um den Umfang der Verpflichtungen klarzustellen und sie im Basisrechtsakt zu verankern. Im Hinblick auf die geplante Angleichung an die Richtlinie 2009/140/EG könnte mit Indikatoren, die in Anlehnung an die technischen Leitlinien der ENISA für die Berichterstattung über Sicherheitsvorfälle in Bezug auf die Richtlinie 2009/140/EG gestaltet werden, der Umfang und die Kriterien für die Meldung klargestellt werden. Darüber hinaus wird empfohlen, die Sicherheitsvorkehrungen in Bezug auf die Veröffentlichung von Informationen im Zusammenhang mit Sicherheitsvorfällen auszuweiten und die Anwendbarkeit der Rechtsvorschriften klarzustellen, wenn ein Sicherheitsvorfall die Kerndienste in mehreren Mitgliedstaaten betrifft, damit nicht mehrere oder unklare Meldepflichten auferlegt werden.

E. Umsetzung und Durchsetzung

Der Berichterstatter hält es für wesentlich, das Risikomanagement stärker in die Denk- und Verhaltensweisen zu integrieren und dabei an einschlägige Bemühungen der Marktteilnehmer anzuknüpfen. Hierzu sind weniger die Form der Informationsbereitstellung zu konkreten Risikomanagementmaßnahmen als vielmehr die Zusammenarbeit insgesamt und die konkreten Maßnahmen der Marktteilnehmer von entscheidender Bedeutung.

Deshalb ist es im Zusammenhang mit Artikel 15 notwendig, Flexibilität vorzusehen, was die Belege für die Einhaltung der den Marktteilnehmern auferlegten Sicherheitsanforderungen betrifft. Dabei sollten auch Belege für die Einhaltung zulässig sein, die nicht in Form von Sicherheitsüberprüfungen beigebracht werden.

F. Sanktionen

Der Berichterstatter erachtet es zwar als notwendig, bei Verstößen der Marktteilnehmer Sanktionen vorzusehen, um die Wirksamkeit dieser Richtlinie zu verbessern, ist aber der Ansicht, dass die Marktteilnehmer durch solche Sanktionen nicht davon abgehalten werden sollten, Sicherheitsvorfälle zu melden, denn unterbliebene Meldungen hätten wiederum nachteilige Auswirkungen. Sicherheitsvorfälle sollten rasch gemeldet werden, und das sollte nicht dadurch untergraben werden, dass Sanktionen drohen, nur weil verfahrenstechnische Anforderungen nicht eingehalten wurden. Deshalb wird zur Klarstellung vorgeschlagen, dass keine Sanktionen verhängt werden sollten, wenn der Marktteilnehmer seinen Verpflichtungen nach Kapitel IV zwar nicht nachgekommen ist, dabei aber weder vorsätzlich noch grob fahrlässig gehandelt hat.


STELLUNGNAHME des Ausschusses für Industrie, Forschung und Energie (19.12.2013)

für den Ausschuss für Binnenmarkt und Verbraucherschutz

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Verfasserin der Stellungnahme(*): del Pilar del Castillo Vera

(*) Assoziierter Ausschuss – Artikel 50 der Geschäftsordnung

KURZE BEGRÜNDUNG

Im Februar 2013 legte die Kommission, wie vom Europäischen Parlament im Initiativbericht über eine Digitale Agenda für Europa gefordert, einen Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union zusammen mit einer ersten Cybersicherheitsstrategie der EU vor. Laut Analyse der verfügbaren Daten könnten allein den kleinen und mittleren Unternehmen durch Vorfälle im Zusammenhang mit der IKT, die durch böswillige Absichten verursacht werden, schätzungsweise unmittelbare Kosten von mehr als 560 Millionen Euro pro Jahr entstehen. Alle Arten von Vorfällen zusammengenommen (einschließlich vorgelagerter Umwelt- oder physischer Probleme, wie Naturkatastrophen) könnten Kosten von mehr als 2,3 Milliarden verursachen. Unter Berücksichtigung dieser Fakten begrüßt die Verfasserin der Stellungnahme den Vorschlag ausdrücklich.

Hinsichtlich seiner Struktur stimmt die Verfasserin der Stellungnahme einigen der vorgeschlagenen Maßnahmen zu, wie der Ausweitung der Bestimmungen zur Berichterstattung über Sicherheitsvorfälle, die zurzeit gemäß Artikel 13a der Rahmenrichtlinie von 2009 auf Anbieter öffentlicher Kommunikationsnetze beschränkt sind, auf weitere wichtige Infrastrukturbereiche. Dementsprechend finden Vorschläge wie die Forderung, dass alle Mitgliedstaaten über ordnungsgemäß funktionierende IT-Notfallteams (Computer Emergency Response Teams, CERTs) verfügen und eine zuständige Behörde als Teil eines sicheren europaweiten Netzes zum elektronischen Datenaustausch benennen müssen, um für die sichere gemeinsame Nutzung und den sicheren Austausch von Informationen zur Cybersicherheit zu sorgen, großen Anklang. Diese Vorschläge haben das Potenzial, erheblich zum Ziel der vorgeschlagenen Richtlinie beizutragen, nämlich der Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union.

Die Verfasserin der Stellungnahme ist jedoch der Ansicht, dass der Vorschlag noch verbessert werden kann, indem zwei Hauptgrundsätze angewendet werden: Effizienz und Vertrauen.

Der erste Grundsatz - Effizienz

Hinsichtlich der Verpflichtung der Mitgliedstaaten, eine zuständige Behörde zu benennen, welche die Anwendung der Richtlinie für alle in Anhang II des Vorschlags aufgeführten Sektoren überwachen soll, ist die Verfasserin der Stellungnahme der Ansicht, dass es jedem Mitgliedstaat freistehen muss, den seiner Meinung nach am besten geeigneten Steuerungsrahmen für Cybersicherheit zu wählen, und dass es zudem zwingend geboten ist, eine Dopplung institutioneller Strukturen zu vermeiden, die potenziell zu Kompetenzstreitigkeiten und dem Abbruch der Kommunikation führen kann. Dementsprechend ist die Verfasserin der Stellungnahme der Ansicht, dass vorhandene einzelstaatliche Strukturen, die bereits Wirksamkeit zeigen und die Anforderungen und verfassungsrechtlichen Vorschriften des Mitgliedstaats erfüllen, nicht zerstört werden sollten. Sie ist jedoch der Auffassung, dass jeder Mitgliedstaat eine zentrale Anlaufstelle benennen muss, um den Austausch von Informationen auf Unionsebene, Benachrichtigungen über frühzeitige Warnungen vor Gefahren und die Teilnahme am Kooperationsnetz auf effiziente Weise sicherzustellen.

Um die Effizienz der vorgeschlagenen Richtlinie noch weiter zu erhöhen, ist die Einrichtung eines nationalen CERTComputer Emergency Response Team) nach Ansicht der Verfasserin der Stellungnahme möglicherweise nicht die am besten geeignete Maßnahme, angesichts der Tatsache, dass diese Maßnahme die unterschiedlichen Arten und Zusammensetzungen der vorhandenen CERTs außer Acht lässt. Die meisten Mitgliedstaaten verfügen nicht nur über mehrere CERTs, diese sind auch noch für verschiedene Arten von Vorfällen zuständig. Die Quantität und Qualität der Tätigkeiten unterscheidet sich auch je nachdem, ob Hochschul- oder Forschungseinrichtungen, Behörden oder private Unternehmen diese Teams betreiben. Zudem würden durch den vorliegenden Vorschlag die vorhandenen internationalen und europäischen Kooperationsnetze zerschlagen, zu denen bereits vorhandene CERTs gehören, die sich bei der Koordinierung internationaler und europäischer Reaktionen auf Vorfälle bewährt haben. Folglich ist die Verfasserin der Stellungnahme der Ansicht, dass die Richtlinie, statt sich auf ein einziges nationales CERT zu beziehen, auf die CERTs ausgerichtet sein sollte, die den in Anhang II genannten Sektoren ihre Dienstleistungen bereitstellen und somit ermöglichen, dass beispielsweise ein CERT Dienstleistungen für alle in Anhang II genannten Sektoren erbringt oder dass verschiedene CERTs für ein und denselben Sektor Dienstleistungen erbringen. Die Verfasserin der Stellungnahme vertritt jedoch die Auffassung, dass Mitgliedsstaaten jederzeit die volle Funktionsfähigkeit ihrer CERTs sicherstellen und dafür sorgen müssen, dass diese mit ausreichenden technischen, finanziellen und personellen Mitteln ausgestattet sind, um angemessen handeln und an Kooperationsnetzen auf internationaler und gemeinschaftlicher Ebene teilnehmen zu können.

Das Wirtschaftlichkeitsgebot erfordert darüber hinaus Änderungen an der vorgeschlagenen Richtlinie hinsichtlich des Geltungsbereichs. Die Verfasserin der Stellungnahme teilt zwar die Ansicht, dass eine Ausweitung des Berichterstattungspflichten auf den Energie-, Verkehrs-, Gesundheits- und Finanzsektor notwendig ist, hält den Vorschlag für eine Ausweitung der in Kapitel IV ausgeführten Zwangsmaßnahmen auf alle Marktteilnehmer in der „Internetwirtschaft“ jedoch für unverhältnismäßig und unkontrollierbar. Unverhältnismäßig, weil die willkürliche Auferlegung neuer Verpflichtungen auf eine offene und nicht definierte Kategorie wie „Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen“ mit Blick auf etwaige, durch einen Sicherheitsvorfall verursachte Schäden nicht nur unverständlich sondern auch nicht hinreichend begründet ist und potenziell eine weitere Bürokratieebene für unsere Industriesektoren und insbesondere für KMU nach sich ziehen kann. Unkontrollierbar, weil ernste Zweifel bestehen, ob die zuständigen Behörden in der Lage sein würden, sich mit allen potenziellen Meldungen auf eine proaktive Weise auseinanderzusetzen, die einen Dialog mit Marktteilnehmern fördern würde, um die Sicherheitsbedrohung zu beseitigen.

In Bezug auf die öffentlichen Verwaltungen sollte die Richtlinie ein Gleichgewicht zwischen dem Bedarf für eine Weiterentwicklung der E-Government-Dienste und den bereits bestehenden Sorgfaltspflichten der öffentlichen Verwaltungen hinsichtlich der Verwaltung und des Schutzes ihrer Netze und Informationssysteme anstreben. Folglich ist die Verfasserin der Stellungnahme der Auffassung, dass die in Artikel 14 festgelegten Anforderungen an den Informationsaustausch für öffentliche Verwaltungen uneingeschränkt gelten sollten, die in Artikel 15 aufgeführten Verpflichtungen jedoch nicht.

Der zweite Grundsatz - Vertrauen

Nach Ansicht der Verfasserin der Stellungnahme liegt der Erfolg der Richtlinie zum großen Teil in ihrer Fähigkeit, die Marktteilnehmer zu einer Mitwirkung zu bewegen, wodurch ein vertrauenswürdiges Umfeld für die Netz- und Informationssicherheit geschaffen werden könnte, in dem diejenigen vor Ort bereit sind, sich proaktiv zu beteiligen. Wenn die Richtlinie dies nicht erreicht, wird sie scheitern. In diesem Zusammenhang schlägt die Verfasserin der Stellungnahme vor zu garantieren, dass die Mitwirkung und Meldungen der Marktteilnehmer keine negativen Folgen durch unnötige Veröffentlichungen der von ihnen gemeldeten Sicherheitsvorfälle nach sich ziehen oder dass sie von den zuständigen Behörden oder zentralen Anlaufstellen für den Datenverlust zur Verantwortung gezogen werden. Darüber hinaus muss der Dialog zwischen Marktteilnehmern und zuständigen Behörden offen sein, und die Mitwirkung der Marktteilnehmer muss in allen Foren, einschließlich des Kooperationsnetzes, gefördert werden.

Die Verfasserin der Stellungnahme steht zudem auf dem Standpunkt, dass Vertrauen die Grundlage für die Mitwirkung der zuständigen Behörden bzw. der zentralen Anlaufstellen bilden sollte, insbesondere hinsichtlich des Informationsaustausches. Um dies sicherzustellen, sollten Bestimmungen zu den Anforderungen an Vertraulichkeit und Sicherheit des Netzes in der Richtlinie festgehalten werden.

ÄNDERUNGSANTRÄGE

Der Ausschuss für Industrie, Forschung und Energie ersucht den federführenden Ausschuss für Binnenmarkt und Verbraucherschutz, folgende Änderungsanträge in seinen Bericht zu übernehmen:

Änderungsantrag  1

Vorschlag für eine Richtlinie

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Freiheit und die allgemeine Sicherheit der Bürgerinnen und Bürger der EU sowie für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

Änderungsantrag  2

Vorschlag für eine Richtlinie

Erwägung 2

Vorschlag der Kommission

Geänderter Text

(2) Die Tragweite und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zufügen.

(2) Die Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Diese Systeme können auch zu einem leichten Angriffsziel vorsätzlich schädigender Handlungen werden, die auf die Schädigung oder den Ausfall des Betriebs der Systeme gerichtet sind. Solche Sicherheitsvorfälle können die Sicherheit und Gesundheit der Einwohner gefährden, die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen von Nutzern und Investoren untergraben und der Wirtschaft der Union großen Schaden zufügen.

Begründung

Cyberangriffe auf börsennotierte Gesellschaften sind weit verbreitet und dienen dem Diebstahl finanzieller Vermögenswerte bzw. geistigen Eigentums oder führen zu Betriebsstörungen bei ihren Kunden oder Geschäftspartnern und könnten somit Einfluss auf die Beziehungen zu Aktionären oder auf die Entscheidungen potenzieller Investoren haben.

Änderungsantrag  3

Vorschlag für eine Richtlinie

Erwägung 3

Vorschlag der Kommission

Geänderter Text

(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts.

(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine herkömmlichen Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs und des grenzüberschreitenden Ideenaustauschs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts und ebenso für das Funktionieren der außereuropäischen Märkte.

Begründung

Die Robustheit und Stabilität der Netze und Informationssysteme des Binnenmarkts sind auch für die Interaktion mit globalen und regionalen Märkten wie Nordamerika, Asien usw. von entscheidender Bedeutung.

Änderungsantrag  4

Vorschlag für eine Richtlinie

Erwägung 4

Vorschlag der Kommission

Geänderter Text

(4) Auf Unionsebene sollte ein Kooperationsmechanismus eingerichtet werden, der den Informationsaustausch sowie eine koordinierte Erkennungs- und Reaktionsfähigkeit im Bereich der Netz- und Informationssicherheit (im Folgenden „NIS“) ermöglicht. Damit ein solcher Mechanismus wirksam sein kann und alle Beteiligten einbezogen werden, muss jeder Mitgliedstaat über Mindestkapazitäten und eine Strategie verfügen, die in seinem Hoheitsgebiet eine hohe NIS gewährleisten. Zur Förderung einer Risikomanagementkultur und um sicherzustellen, dass die gravierendsten Sicherheitsvorfälle gemeldet werden, sollten Mindestsicherheitsanforderungen auch für öffentliche Verwaltungen und Betreiber kritischer Informationsinfrastrukturen gelten.

(4) Auf Unionsebene sollte ein Kooperationsmechanismus eingerichtet werden, der den Informationsaustausch sowie eine koordinierte Präventions-, Erkennungs- und Reaktionsfähigkeit im Bereich der Netz- und Informationssicherheit (im Folgenden „NIS“) ermöglicht. Damit ein solcher Mechanismus wirksam sein kann und alle Beteiligten einbezogen werden, muss jeder Mitgliedstaat über Mindestkapazitäten und eine Strategie verfügen, die in seinem Hoheitsgebiet eine hohe NIS gewährleisten. Zur Förderung einer Risikomanagementkultur und um sicherzustellen, dass die gravierendsten Sicherheitsvorfälle gemeldet werden, sollten Mindestsicherheitsanforderungen auch für öffentliche und private Betreiber von Informationsinfrastrukturen und börsennotierten Unternehmen gelten. Der Rechtsrahmen sollte auf der Notwendigkeit beruhen, die Privatsphäre und Integrität der Bürgerinnen und Bürger zu schützen. Das Warn- und Informationsnetz für kritische Infrastrukturen (WINKI) sollte auf diese speziellen Betreiber ausgeweitet werden.

Begründung

Sicherheitsverletzungen bei börsennotierten Gesellschaften könnten deren Produkte, Dienstleistungen, Kunden- und Lieferantenbeziehungen sowie die allgemeinen Wettbewerbsbedingungen wesentlich beeinträchtigen und daher mit erheblichen Folgen für das Funktionieren des Binnenmarkts (und des außereuropäischen Markts) verbunden sein. Daher sollten börsennotierte Gesellschaften ebenfalls unter die Richtlinie fallen.

Änderungsantrag  5

Vorschlag für eine Richtlinie

Erwägung 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(4a) Der Schwerpunkt dieser Richtlinie sollte auf kritischen Infrastrukturen liegen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Finanzmarktinfrastrukturen und Gesundheit unbedingt erforderlich sind.

Änderungsantrag  6

Vorschlag für eine Richtlinie

Erwägung 4 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(4b) Um sicherzustellen, dass die Regierungen ihre Befugnisse nicht überschreiten oder missbrauchen, ist es von entscheidender Bedeutung, dass die Informations- und Sicherheitssysteme der öffentlichen Behörden transparent, rechtmäßig und eindeutig sind und im Rahmen eines demokratischen Prozesses in transparenter Weise angenommen werden.

Änderungsantrag  7

Vorschlag für eine Richtlinie

Erwägung 6

Vorschlag der Kommission

Geänderter Text

(6) Die bestehenden Kapazitäten reichen nicht aus, um eine hohe NIS in der EU zu gewährleisten. Aufgrund des sehr unterschiedlichen Niveaus der Abwehrbereitschaft verfolgen die Mitgliedstaaten uneinheitliche Ansätze innerhalb der Union. Dies führt dazu, dass Verbraucher und Unternehmen ein unterschiedliches Schutzniveau genießen und die NIS in der Union generell untergraben wird. Wegen fehlender gemeinsamer Mindestanforderungen für öffentliche Verwaltungen und Marktteilnehmer kann wiederum kein umfassender, wirksamer Mechanismus für die Zusammenarbeit auf Unionsebene geschaffen werden.

(6) Die bestehenden Kapazitäten reichen nicht aus, um eine hohe NIS in der EU zu gewährleisten. Aufgrund des sehr unterschiedlichen Niveaus der Abwehrbereitschaft verfolgen die Mitgliedstaaten uneinheitliche Ansätze innerhalb der Union. Dies führt dazu, dass Verbraucher und Unternehmen ein unterschiedliches Schutzniveau genießen und die NIS in der Union generell untergraben wird. Wegen fehlender gemeinsamer Mindestanforderungen für öffentliche Verwaltungen und Marktteilnehmer kann wiederum kein umfassender, wirksamer Mechanismus für die Zusammenarbeit auf Unionsebene geschaffen werden, wodurch zudem die Wirksamkeit der internationalen Zusammenarbeit und infolgedessen die Bekämpfung globaler Sicherheitsprobleme beeinträchtigt wird und die international führende Position der Union bei der Beibehaltung und Förderung eines offenen, effizienten und sicheren Internets.

Änderungsantrag  8

Vorschlag für eine Richtlinie

Erwägung 7

Vorschlag der Kommission

Geänderter Text

(7) Um wirksam auf die Herausforderungen im Bereich der Sicherheit von Netzen und Informationssystemen reagieren zu können, ist deshalb ein umfassender Ansatz auf Unionsebene erforderlich, der gemeinsame Mindestanforderungen für Kapazitätsaufbau und -planung, Informationsaustausch, Maßnahmenkoordinierung sowie gemeinsame Mindestsicherheitsanforderungen für alle betroffenen Marktteilnehmer und öffentlichen Verwaltungen beinhaltet.

(7) Um wirksam auf die Herausforderungen im Bereich der Sicherheit von Netzen und Informationssystemen reagieren zu können, ist deshalb ein umfassender Ansatz auf Unionsebene erforderlich, der gemeinsame Mindestanforderungen für Kapazitätsaufbau und -planung, die Entwicklung ausreichender Kompetenzen auf dem Gebiet der Cybersicherheit, Informationsaustausch, Maßnahmenkoordinierung sowie gemeinsame Mindestsicherheitsanforderungen beinhaltet. In Übereinstimmung mit geeigneten Empfehlungen der Koordinierungsgruppe für die Cybersicherheit (CSGC) sollten gemeinsame Mindestnormen angewendet werden.

Änderungsantrag  9

Vorschlag für eine Richtlinie

Erwägung 9

Vorschlag der Kommission

Geänderter Text

(9) Um eine hohe gemeinsame Netz- und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht.

(9) Um eine hohe gemeinsame Netz- und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen auf der Grundlage der in dieser Richtlinie festgelegten Mindestanforderungen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht. Jeder Mitgliedstaat sollte daher zur Einhaltung gemeinsamer Normen im Hinblick auf das Datenformat und die Austauschbarkeit der gemeinsam genutzten und zu bewertenden Daten verpflichtet werden. Die Mitgliedstaaten können die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien auf der Grundlage eines gemeinsamen Entwurfs für eine Mindeststrategie zur NIS ersuchen.

Begründung

Die ENISA wird von den maßgeblichen Beteiligten bereits als höchst kompetentes Exzellenzzentrum und verlässliches Instrument zur Förderung der Cybersicherheit in der EU anerkannt. Daher sollte die EU Doppelarbeit und -strukturen vermeiden, indem auf dem Know-How der ENISA aufgebaut und die ENISA verpflichtet wird, für Mitgliedstaaten, die nicht über NIS-Einrichtungen und die notwendigen Kenntnisse verfügen und um Unterstützung dieser Art ersuchen, Beratungsdienste anzubieten.

Änderungsantrag  10

Vorschlag für eine Richtlinie

Erwägung 10

Vorschlag der Kommission

Geänderter Text

(10) Zur effektiven Umsetzung der Bestimmungen dieser Richtlinie sollte in jedem Mitgliedstaat eine für die Koordinierung in Sachen NIS zuständige Stelle geschaffen oder auf Unionsebene benannt werden, die für die Zwecke der grenzübergreifenden Zusammenarbeit als Anlaufstelle dient. Diese Stellen sollten mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sein, um die ihnen übertragenen Aufgaben wirksam und effizient erfüllen und somit die Ziele dieser Richtlinie erreichen zu können.

(10) Zur effektiven Umsetzung der Bestimmungen dieser Richtlinie sollte in jedem Mitgliedstaat eine für die Koordinierung in Sachen NIS zuständige Stelle geschaffen oder auf Unionsebene benannt werden, die für die Zwecke der internen Koordinierung und der grenzübergreifenden Zusammenarbeit als zentrale Anlaufstelle dient. Die Benennung dieser zentralen nationalen Anlaufstellen sollte die Möglichkeit der Mitgliedstaaten unberührt lassen, gemäß ihren jeweiligen verfassungsrechtlichen, gerichtlichen oder verwaltungsrechtlichen Bestimmungen mehr als eine nationale Behörde mit Zuständigkeit für die Netz- und Informationssicherheit zu bestimmen. Gleichwohl sollten die Anlaufstellen mit einer koordinierenden Aufgabe auf einzelstaatlicher und Unionsebene betraut werden. Diese Stellen sollten mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sein, um die ihnen übertragenen Aufgaben dauerhaft, wirksam und effizient erfüllen und somit die Ziele dieser Richtlinie erreichen zu können.

Änderungsantrag  11

Vorschlag für eine Richtlinie

Erwägung 10 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(10a) Da Unterschiede zwischen den Verwaltungsstrukturen der einzelnen Mitgliedstaaten bestehen, bereits geltende sektorbezogene Vereinbarungen beibehalten werden sollten und damit keine Dopplungen entstehen, sollten die Mitgliedstaaten mehrere nationale zuständige Behörden benennen können, die im Rahmen dieser Richtlinie die Aufgaben im Zusammenhang mit der Netz- und Informationssicherheit von Marktteilnehmern wahrnehmen. Allerdings ist es im Interesse einer reibungslosen länderübergreifenden Zusammenarbeit und Kommunikation notwendig, dass jeder Mitgliedstaat eine einzige zentrale Anlaufstelle für die länderübergreifende Zusammenarbeit auf Unionsebene benennt. Ein Mitgliedstaat sollte auch – sofern dies verfassungsmäßig oder aufgrund anderer Vereinbarungen erforderlich ist – befugt sein, nur eine Behörde zu benennen, die die Aufgaben der zuständigen Behörde und der zentralen Anlaufstelle wahrnimmt.

Änderungsantrag  12

Vorschlag für eine Richtlinie

Erwägung 11

Vorschlag der Kommission

Geänderter Text

(11) Alle Mitgliedstaaten sollten über angemessene technische und organisatorische Kapazitäten verfügen, um die Prävention, Erkennung, Reaktion und Folgenminderung bei NIS-Vorfällen und -Risiken gewährleisten zu können. Dafür sollten im Einklang mit den grundlegenden Anforderungen in allen Mitgliedstaaten gut funktionierende IT-Notfallteams (Computer Emergency Response Teams) eingerichtet werden, damit wirksame und geeignete Kapazitäten geschaffen werden, die in der Lage sind, Sicherheitsvorfälle und -risiken zu bewältigen und eine effiziente Zusammenarbeit auf Unionsebene zu gewährleisten.

(11) Alle Mitgliedstaaten sowie Marktteilnehmer sollten über angemessene technische und organisatorische Kapazitäten verfügen, um die Prävention, Erkennung, Reaktion und Folgenminderung bei NIS-Vorfällen und -Risiken jederzeit gewährleisten zu können. Die Sicherheitssysteme in der öffentlichen Verwaltung müssen sicher sein und der demokratischen Kontrolle und Prüfung unterliegen. Die gebräuchlichen Ausstattungen und Kapazitäten sollten den gemeinsam vereinbarten technischen Normen sowie Standardvorgehensweisen entsprechen. Dafür sollten im Einklang mit den grundlegenden Anforderungen in allen Mitgliedstaaten gut funktionierende IT-Notfallteams (Computer Emergency Response Teams, CERT) eingerichtet werden, damit wirksame und geeignete Kapazitäten geschaffen werden, die in der Lage sind, Sicherheitsvorfälle und -risiken zu bewältigen und eine effiziente Zusammenarbeit auf Unionsebene zu gewährleisten. Diese IT-Notfallteams sollten in die Lage versetzt werden, auf der Grundlage gemeinsamer technischer Normen und Standardvorgehensweisen zu interagieren. Angesichts der unterschiedlichen Beschaffenheit der bestehenden CERT, welche für die unterschiedlichen subjektiven Bedürfnisse und Akteure zuständig sind, sollten die Mitgliedstaaten sicherstellen, dass jedem der im Anhang II genannten Sektoren Dienstleistungen von mindestens einem CERT geboten werden. In Bezug auf die grenzüberschreitende CERT-Kooperation sollten die Mitgliedstaaten sicherstellen, dass CERTs über hinreichende Mittel verfügen, um an den vorhandenen internationalen und europäischen Kooperationsnetzen mitzuwirken.

Begründung

Die Interoperabilität muss sichergestellt werden.

Änderungsantrag  13

Vorschlag für eine Richtlinie

Erwägung 12

Vorschlag der Kommission

Geänderter Text

(12) Auf der Grundlage der beträchtlichen Fortschritte, die im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS) zur Förderung von Gesprächen und des Austauschs bewährter Vorgehensweisen, u. a. zur Entwicklung von Grundsätzen für die europäische Zusammenarbeit bei Cyberkrisen, erzielt worden sind, sollten die Mitgliedstaaten und die Kommission ein Netz bilden, um eine kontinuierliche Kommunikation herzustellen und ihre Zusammenarbeit auszubauen. Dieser sichere und wirksame Kooperationsmechanismus sollte den Austausch von Informationen sowie die Erkennung und Bewältigung von Sicherheitsvorfällen in strukturierter, abgestimmter Weise auf Unionsebene ermöglichen.

(12) Auf der Grundlage der beträchtlichen Fortschritte, die im Rahmen des Europäischen Forums der Mitgliedstaaten (EFMS) zur Förderung von Gesprächen und des Austauschs bewährter Vorgehensweisen, u. a. zur Entwicklung von Grundsätzen für die europäische Zusammenarbeit bei Cyberkrisen, erzielt worden sind, sollten die Mitgliedstaaten und die Kommission ein Netz bilden, um eine kontinuierliche Kommunikation herzustellen und ihre Zusammenarbeit auszubauen. Dieser sichere und wirksame Kooperationsmechanismus, bei dem die Mitwirkung der Marktteilnehmer sichergestellt ist, sollte den Austausch von Informationen sowie die Erkennung und Bewältigung von Sicherheitsvorfällen in strukturierter, abgestimmter Weise auf Unionsebene ermöglichen.

Änderungsantrag  14

Vorschlag für eine Richtlinie

Erwägung 13

Vorschlag der Kommission

Geänderter Text

(13) Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) sollte die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen. Insbesondere sollte die Kommission die ENISA bei der Anwendung dieser Richtlinie zu Rate ziehen. Damit sichergestellt ist, dass die Mitgliedstaaten und die Kommission tatsächlich und rechtzeitig informiert werden, sollten Frühwarnungen vor Sicherheitsvorfällen und -risiken über das Kooperationsnetz ausgegeben werden. Um Kapazitäten und Fachwissen unter den Mitgliedstaaten aufbauen zu können, sollte das Kooperationsnetz auch als Mittel für den Austausch bewährter Verfahren dienen und damit seinen Mitgliedern beim Kapazitätsaufbau helfen sowie die Organisation von gegenseitigen Überprüfungen und NIS-Übungen leiten.

(13) Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) sollte die Mitgliedstaaten und die Kommission mit Fachkompetenz, als Berater und als Mittler für den Austausch bewährter Verfahren unterstützen. Insbesondere sollten die Kommission und die Mitgliedstaaten die ENISA bei der Anwendung dieser Richtlinie zu Rate ziehen. Damit sichergestellt ist, dass die Mitgliedstaaten und die Kommission tatsächlich und rechtzeitig informiert werden, sollten Frühwarnungen vor Sicherheitsvorfällen und -risiken über das Kooperationsnetz ausgegeben werden. Um Kapazitäten und Fachwissen unter den Mitgliedstaaten aufbauen zu können, sollte das Kooperationsnetz auch als Mittel für den Austausch bewährter Verfahren dienen und damit seinen Mitgliedern beim Kapazitätsaufbau helfen sowie die Organisation von gegenseitigen Überprüfungen und NIS-Übungen leiten.

Änderungsantrag  15

Vorschlag für eine Richtlinie

Erwägung 14

Vorschlag der Kommission

Geänderter Text

(14) Es sollte eine sichere Infrastruktur für den Informationsaustausch errichtet werden, damit sensible und vertrauliche Informationen über das Kooperationsnetz übermittelt werden können. Unbeschadet der Verpflichtung der Mitgliedstaaten, dem Kooperationsnetz Sicherheitsvorfälle und -risiken von unionsweiter Bedeutung zu melden, sollte der Zugang zu vertraulichen Informationen anderer Mitgliedstaaten nur gewährt werden, wenn diese nachweisen können, dass durch ihre technischen, finanziellen und personellen Ressourcen und Verfahren sowie ihre Kommunikationsinfrastruktur sichergestellt ist, dass sie in wirksamer, effizienter und sicherer Weise an der Arbeit des Netzes teilnehmen können.

(14) Es sollte eine sichere Infrastruktur für den Informationsaustausch unter der Aufsicht der ENISA errichtet werden, damit sensible und vertrauliche Informationen über das Kooperationsnetz übermittelt werden können. Unbeschadet der Verpflichtung der Mitgliedstaaten, dem Kooperationsnetz Sicherheitsvorfälle und -risiken von unionsweiter Bedeutung zu melden, sollte der Zugang zu vertraulichen Informationen anderer Mitgliedstaaten nur gewährt werden, wenn diese nachweisen können, dass durch ihre technischen, finanziellen und personellen Ressourcen und Verfahren sowie ihre Kommunikationsinfrastruktur sichergestellt ist, dass sie in wirksamer, effizienter und sicherer Weise an der Arbeit des Netzes teilnehmen können. Damit das Kooperationsnetz seine Aufgaben wirksam erfüllen kann, sollte die Kommission eine Haushaltslinie für das Netz festlegen.

Änderungsantrag  16

Vorschlag für eine Richtlinie

Erwägung 14 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(14a) Marktteilnehmer können, falls erforderlich, auch zur Mitwirkung bei der Tätigkeit des Kooperationsnetzes aufgefordert werden.

Änderungsantrag  17

Vorschlag für eine Richtlinie

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und Informationen und bewährte Verfahren austauschen und im Gegenzug operative Unterstützung im Falle von Sicherheitsvorfällen erhalten.

(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und untereinander Informationen und bewährte Verfahren austauschen, einschließlich des gegenseitigen Austauschs relevanter Informationen und operativer Unterstützung sowie strategisch analysierte Informationen im Falle von Sicherheitsvorfällen. Zur wirksamen Unterstützung des Austauschs von Informationen und bewährten Verfahren muss unbedingt sichergestellt werden, dass Marktteilnehmer, die an einem solchen Austausch beteiligt sind, keine Benachteiligung aufgrund ihrer Zusammenarbeit erfahren. Durch angemessene Sicherheitsvorkehrungen muss gewährleistet werden, dass eine solche Zusammenarbeit für diese Betreiber nicht mit einem erhöhten Risiko der Nichteinhaltung oder neuen Verbindlichkeiten gemäß den Rechtsvorschriften unter anderem zu Wettbewerb, geistigem Eigentum, Datenschutz oder Cyberkriminalität einhergeht und auch nicht mit höheren operativen oder sicherheitstechnischen Risiken verbunden ist.

Änderungsantrag  18

Vorschlag für eine Richtlinie

Erwägung 16

Vorschlag der Kommission

Geänderter Text

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zuständigen Behörden eine gemeinsame Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken einrichten.

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zentralen Anlaufstellen eine gemeinsame unionsweite Website zur Veröffentlichung nichtvertraulicher Informationen über über Sicherheitsvorfälle und -risiken und letztlich zur Bereitstellung von Empfehlungen zu geeigneten Wartungsmaßnahmen einrichten.

Änderungsantrag  19

Vorschlag für eine Richtlinie

Erwägung 17

Vorschlag der Kommission

Geänderter Text

(17) Werden die betreffenden Informationen nach Vorschriften der EU und der Mitgliedstaaten über das Geschäftsgeheimnis als vertraulich eingestuft, ist deren Vertraulichkeit bei den in dieser Richtlinie vorgesehenen Tätigkeiten und bei der Erreichung der darin gesetzten Ziele sicherzustellen.

(17) Die in Erwägung 14 genannte Strategie zur Klassifizierung von Informationen sollte sich an dem von der ENISA empfohlenen Ampelprotokoll für den Informationsaustausch (Information Sharing Traffic Light Protocol) orientieren. Jede ausgetauschte Information wird entsprechend dem Grad ihrer Sensibilität nach den Angaben der Informationsquelle klassifiziert und behandelt. Werden die betreffenden Informationen nach Vorschriften der EU und der Mitgliedstaaten über das Geschäftsgeheimnis als vertraulich eingestuft, ist deren Vertraulichkeit bei den in dieser Richtlinie vorgesehenen Tätigkeiten und bei der Erreichung der darin gesetzten Ziele sicherzustellen.

Änderungsantrag  20

Vorschlag für eine Richtlinie

Erwägung 18

Vorschlag der Kommission

Geänderter Text

(18) Die Kommission und die Mitgliedstaaten sollten auf der Grundlage nationaler Erfahrungen im Krisenmanagement in Zusammenarbeit mit der ENISA einen NIS-Kooperationsplan der EU ausarbeiten, in dem Kooperationsmechanismen zur Bewältigung von Sicherheitsrisiken und ‑vorfällen festgelegt werden. Diesem Plan sollte bei Frühwarnungen über das Kooperationsnetz angemessen Rechnung getragen werden.

(18) Die Kommission und die Mitgliedstaaten sollten auf der Grundlage nationaler Erfahrungen im Krisenmanagement in Zusammenarbeit mit der ENISA einen NIS-Kooperationsplan der EU ausarbeiten, in dem Kooperationsmechanismen, bewährte Verfahren und Verfahrensmuster zur Vermeidung, Entdeckung, Meldung und Bewältigung von Sicherheitsrisiken und ‑vorfällen festgelegt werden. Diesem Plan sollte bei Frühwarnungen über das Kooperationsnetz angemessen Rechnung getragen werden.

Änderungsantrag  21

Vorschlag für eine Richtlinie

Erwägung 19

Vorschlag der Kommission

Geänderter Text

(19) Eine Verpflichtung zur Herausgabe einer Frühwarnung über das Netz sollte nur bestehen, wenn Tragweite und Schwere des Sicherheitsvorfalls oder betreffenden -risikos so erheblich sind oder werden können, dass ein Informationsaustausch oder eine Koordinierung der Reaktion auf EU-Ebene erforderlich ist. Frühwarnungen sollten deshalb auf diejenigen tatsächlichen oder potenziellen Sicherheitsvorfälle und -risiken beschränkt bleiben, die sich rasch ausweiten, nationale Reaktionskapazitäten überschreiten oder mehr als einen Mitgliedstaat betreffen. Um eine angemessene Bewertung zu ermöglichen, sollten dem Kooperationsnetz alle für die Beurteilung des Sicherheitsrisikos oder -vorfalls erheblichen Informationen mitgeteilt werden.

(19) Eine Verpflichtung zur Herausgabe einer Frühwarnung über das Netz sollte nur bestehen, wenn Tragweite und Schwere des Sicherheitsvorfalls oder betreffenden -risikos so erheblich sind oder werden können, dass ein Informationsaustausch oder eine Koordinierung der Reaktion auf EU-Ebene erforderlich ist. Frühwarnungen sollten deshalb auf diejenigen Sicherheitsvorfälle und -risiken beschränkt bleiben, die sich rasch ausweiten, nationale Reaktionskapazitäten überschreiten oder mehr als einen Mitgliedstaat betreffen. Um eine angemessene Bewertung zu ermöglichen, sollten dem Kooperationsnetz alle für die Beurteilung des Sicherheitsrisikos oder -vorfalls erheblichen Informationen mitgeteilt werden.

Änderungsantrag  22

Vorschlag für eine Richtlinie

Erwägung 20

Vorschlag der Kommission

Geänderter Text

(20) Bei Eingang einer Frühwarnung und bei deren Bewertung sollten sich die zuständigen Behörden auf eine koordinierte Reaktion nach dem NIS-Kooperationsplan der EU einigen. Die zuständigen Behörden und die Kommission sollten über die im Zuge der koordinierten Reaktion auf nationaler Ebene ergriffenen Maßnahmen informiert werden.

(20) Bei Eingang einer Frühwarnung und bei deren Bewertung sollten sich die zentralen Anlaufstellen auf eine koordinierte Reaktion nach dem NIS-Kooperationsplan der EU einigen. Die zentralen Anlaufstellen, die ENISA und die Kommission sollten über die im Zuge der koordinierten Reaktion auf nationaler Ebene ergriffenen Maßnahmen informiert werden.

Änderungsantrag  23

Vorschlag für eine Richtlinie

Erwägung 22

Vorschlag der Kommission

Geänderter Text

(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollte eine Risikomanagementkultur gefördert und entwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollte, die den jeweiligen Risiken angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist.

(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollten eine Risikomanagementkultur, enge Zusammenarbeit und Vertrauen gefördert und entwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollten, die den jeweiligen Risiken angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, verlässliche gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist.

Änderungsantrag  24

Vorschlag für eine Richtlinie

Erwägung 24

Vorschlag der Kommission

Geänderter Text

(24) Diese Verpflichtungen sollten über den elektronischen Kommunikationssektor hinaus ausgeweitet werden auf wichtige Anbieter von Diensten der Informationsgesellschaft im Sinne der Richtlinie 98/34/EG des Europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft27, auf die sich nachgelagerte Dienste der Informationsgesellschaft oder Online-Tätigkeiten wie Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste und Application Stores stützen. Störungen dieser grundlegenden Dienste der Informationsgesellschaft verhindern die Erbringung anderer, darauf aufbauender Dienste der Informationsgesellschaft. Softwareentwickler und Hardwarehersteller sind keine Anbieter von Diensten der Informationsgesellschaft und sind deshalb ausgenommen. Die Verpflichtungen sollten auch auf öffentliche Verwaltungen und Betreiber kritischer Infrastrukturen ausgeweitet werden, die stark von der Informations- und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom- und Gasversorgung, Verkehr, Finanzinstitutionen, Börsen, Gesundheitswesen usw.) unerlässlich sind. Eine Störung dieser Netze und Informationssysteme würde den Binnenmarkt beeinträchtigen.

(24) Diese Verpflichtungen sollten auf Betreiber von Infrastrukturen ausgeweitet werden, die stark von der Informations- und Kommunikationstechnik abhängen und für die Aufrechterhaltung wichtiger wirtschaftlicher und gesellschaftlicher Bereiche (Strom- und Gasversorgung, Verkehr, Kreditinstitute, Finanzmarktinfrastrukturen, Gesundheitswesen usw.) unerlässlich sind. Eine Störung dieser Netze und Informationssysteme würde den Binnenmarkt beeinträchtigen. Die in dieser Richtlinie festgelegten Verpflichtungen gelten zwar nicht für wichtige Anbieter von Diensten der Informationsgesellschaft im Sinne der Richtlinie 98/34/EG des europäischen Parlaments und des Rates vom 22. Juni 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste27 der Informationsgesellschaft, auf die sich nachgelagerte Dienste der Informationsgesellschaft oder Online-Tätigkeiten wie Plattformen des elektronischen Geschäftsverkehrs, Internet-Zahlungs-Gateways, soziale Netze, Suchmaschinen, Cloud-Computing-Dienste und Application Stores stützen, diese können jedoch auf freiwilliger Basis die zuständige Behörde oder die zentrale Anlaufstelle über die die Netzsicherheit betreffenden Vorfälle informieren, die sie für relevant halten. Die zuständige Behörde oder die zentrale Anlaufstelle sollte, falls im angemessenen Rahmen möglich, die Marktteilnehmer, die den Vorfall gemeldet haben, mit strategisch analysierten Informationen versorgen, mit denen die Sicherheitsbedrohung beseitigt wird.

__________________

__________________

27 ABl. L 204, 21.7.1998, S. 37.

27 ABl. L 204, 21.7.1998, S. 37.

Änderungsantrag  25

Vorschlag für eine Richtlinie

Erwägung 25

Vorschlag der Kommission

Geänderter Text

(25) Zu den von öffentlichen Verwaltungen und Marktteilnehmern zu ergreifenden technischen und organisatorischen Maßnahmen sollte nicht die Verpflichtung gehören, bestimmte geschäftliche Informationen und Produkte der Kommunikationstechnik in bestimmter Weise zu konzipieren, zu entwickeln oder herzustellen.

(25) Zu den von den Marktteilnehmern zu ergreifenden technischen und organisatorischen Maßnahmen sollte nicht die Verpflichtung gehören, bestimmte geschäftliche Informationen und Produkte der Kommunikationstechnik in bestimmter Weise zu konzipieren, zu entwickeln oder herzustellen. Allerdings sollte die Anwendung internationaler Normen zur Cybersicherheit vorgeschrieben sein.

Änderungsantrag  26

Vorschlag für eine Richtlinie

Erwägung 28

Vorschlag der Kommission

Geänderter Text

(28) Die zuständigen Behörden sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle melden, entstehen kann. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur Veröffentlichung der entsprechenden Sicherheitsfixes streng vertraulich bleiben.

(28) Die zuständigen Behörden und die zentralen Anlaufstellen sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Werden den zuständigen Behörden zuvor unbekannte Anfälligkeiten oder Sicherheitsvorfälle gemeldet, sollten sie die Hersteller betroffener IKT-Produkte und die Anbieter betroffener IKT-Dienste benachrichtigen. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden und den zentralen Anlaufstellen gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den Marktteilnehmern, die solche Sicherheitsvorfälle melden, entstehen kann. Um Vertrauen und Wirksamkeit sicherzustellen, findet eine Veröffentlichung der Vorfälle nur nach Rücksprache mit den Teilnehmern statt, die den Vorfall gemeldet haben, und nur dann, wenn es für das Erreichen der Ziele dieser Richtlinie unbedingt erforderlich ist. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden und die zentrale Anlaufstelle besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur Veröffentlichung der entsprechenden Sicherheitsfixes streng vertraulich bleiben, ohne jedoch entsprechende Meldungen länger als unbedingt erforderlich hinauszuzögern. Generell sollten die zentralen Anlaufstellen keine personenbezogenen Daten von natürlichen Personen offenlegen, die an Sicherheitsvorfällen beteiligt sind. Die zentralen Anlaufstellen sollten personenbezogene Daten nur dann offenlegen, wenn dies im Hinblick auf den damit verfolgten Zweck notwendig und verhältnismäßig ist.

Begründung

Wenn den Behörden Informationen zur Anfälligkeit bestimmter IKT-Produkte oder -Dienste vorliegen, sollten sie die Hersteller und Diensteanbieter benachrichtigen, damit diese die Möglichkeit einer zeitnahen Anpassung ihrer Produkte und Dienste haben.

Änderungsantrag  27

Vorschlag für eine Richtlinie

Erwägung 29

Vorschlag der Kommission

Geänderter Text

(29) Die zuständigen Behörden sollten mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein; sie sollten auch befugt sein, hinreichende Auskünfte von Marktteilnehmern und öffentlichen Verwaltungen einzuholen, damit sie die Sicherheit von Netzen und Informationssystemen beurteilen können und über verlässliche, umfassende Daten über tatsächliche Sicherheitsvorfälle verfügen, die den Betrieb von Netzen und Informationssystemen beeinträchtigt haben.

(29) Die zuständigen Behörden und die zentralen Anlaufstellen sollten mit den für die Erfüllung ihrer Aufgaben erforderlichen Mitteln ausgestattet sein; sie sollten auch befugt sein, hinreichende Auskünfte von Marktteilnehmern einzuholen, damit sie die Sicherheit von Netzen und Informationssystemen sowie Anzahl, Tragweite und Ausmaß von Zwischenfällen beurteilen können und über verlässliche, umfassende Daten über tatsächliche Sicherheitsvorfälle verfügen, die den Betrieb von Netzen und Informationssystemen beeinträchtigt haben.

Änderungsantrag  28

Vorschlag für eine Richtlinie

Erwägung 30

Vorschlag der Kommission

Geänderter Text

(30) Häufig gehen Sicherheitsvorfälle auf kriminelle Handlungen zurück. Selbst wenn zunächst keine hinreichenden Beweise vorliegen, kann bei Sicherheitsvorfällen ein krimineller Hintergrund vermutet werden. In diesem Zusammenhang sollte eine sachgerechte Zusammenarbeit zwischen den zuständigen Behörden und den Strafverfolgungsbehörden Bestandteil einer wirksamen, umfassenden Reaktion auf die Bedrohung durch Sicherheitsvorfälle sein. Die Förderung einer sicheren, robusteren Umgebung setzt insbesondere voraus, dass die Strafverfolgungsbehörden systematisch über Sicherheitsvorfälle mit mutmaßlich kriminellem Hintergrund Bericht informiert werden. Ob es sich um Sicherheitsvorfälle aufgrund schwerer Straftaten handelt, sollte nach den EU-Vorschriften über Cyberkriminalität beurteilt werden.

(30) Häufig gehen Sicherheitsvorfälle auf kriminelle Handlungen oder Cyberkriegsaktivitäten zurück. Selbst wenn zunächst keine hinreichenden Beweise vorliegen, kann bei Sicherheitsvorfällen ein krimineller Hintergrund vermutet werden. In diesem Zusammenhang sollte eine sachgerechte Zusammenarbeit zwischen den zuständigen Behörden, den zentralen Anlaufstellen und den Strafverfolgungsbehörden sowie eine Zusammenarbeit mit dem EC3 (Europäisches Zentrum zur Bekämpfung der Cyberkriminalität) und der ENISA Bestandteil einer wirksamen, umfassenden Reaktion auf die Bedrohung durch Sicherheitsvorfälle sein. Die Förderung einer sicheren, robusteren Umgebung setzt insbesondere voraus, dass die Strafverfolgungsbehörden systematisch über Sicherheitsvorfälle mit mutmaßlich kriminellem Hintergrund Bericht informiert werden. Ob es sich um Sicherheitsvorfälle aufgrund schwerer Straftaten handelt, sollte nach den EU-Vorschriften über Cyberkriminalität beurteilt werden.

Änderungsantrag  29

Vorschlag für eine Richtlinie

Erwägung 31

Vorschlag der Kommission

Geänderter Text

(31) Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Deshalb sollten die zuständigen Behörden und die Datenschutzbehörden zusammenarbeiten und Informationen zu allen einschlägigen Fragen austauschen, um derartigen Verletzungen des Schutzes personenbezogener Daten zu begegnen. Die Mitgliedstaaten sollten die Meldepflicht bei Sicherheitsvorfällen so umsetzen, dass der Verwaltungsaufwand bei Sicherheitsvorfällen, die gleichzeitig eine Verletzung des Schutzes personenbezogener Daten im Sinne der Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr darstellen, so gering wie möglich gehalten wird28. Über Kontakte mit den zuständigen Behörden und den Datenschutzbehörden könnte die ENISA Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch sowie Muster entwickelt, mit denen die Verwendung zweier verschiedener Muster für die Meldung von NIS-Vorfällen vermieden werden kann. Die Meldung anhand eines einzigen Musters wäre bei Sicherheitsvorfällen, bei denen der Schutz personenbezogener Daten beeinträchtigt wurde, eine Vereinfachung und würde damit den Verwaltungsaufwand für Unternehmen und öffentliche Verwaltungen verringern.

(31) Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Mitgliedstaaten und Marktteilnehmer sollten gespeicherte, verarbeitete oder übermittelte Daten gegen zufällige oder rechtswidrige Zerstörung, zufälligen Verlust oder zufällige Änderung sowie gegen unbefugte oder rechtswidrige Speicherung, Preisgabe, Verbreitung oder Zugriff schützen; sie sollten darüber hinaus die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten sicherstellen. Deshalb sollten die zuständigen Behörden, die zentralen Anlaufstellen und die Datenschutzbehörden zusammenarbeiten und Informationen zu allen einschlägigen Fragen austauschen, um derartigen Verletzungen des Schutzes personenbezogener Daten zu begegnen. Die Meldepflicht bei Sicherheitsvorfällen sollte so umgesetzt werden, dass der Verwaltungsaufwand bei Sicherheitsvorfällen, die gleichzeitig eine Verletzung des Schutzes personenbezogener Daten darstellen und gemäß der geltenden Gesetze gemeldet werden müssen, so gering wie möglich gehalten wird. Die ENISA sollte Unterstützung bieten, indem sie Mechanismen für den Informationsaustausch und ein einziges Muster entwickelt, mit dem die Meldung von Sicherheitsvorfällen, bei denen der Schutz personenbezogener Daten beeinträchtigt wurde, vereinfacht und damit der Verwaltungsaufwand für Unternehmen und öffentliche Verwaltungen verringert würde.

__________________

 

28 SEC(2012) 72 final

 

Begründung

Anpassung an den Entwurf der Datenschutzrichtlinie.

Änderungsantrag  30

Vorschlag für eine Richtlinie

Erwägung 32

Vorschlag der Kommission

Geänderter Text

(32) Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang. Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter Normen fördern, damit ein hohes Sicherheitsniveau auf Unionsebene gewährleistet wird. dies sollte nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates29 geschehen.

(32) Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang auf freiwilliger Basis, der es Marktteilnehmern ermöglichen sollte, alternative Mittel einzusetzen, um mindestens ähnliche Ergebnisse zu erzielen. Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter interoperabler Normen fördern, damit ein hohes Sicherheitsniveau auf Unionsebene gewährleistet wird. Zu diesem Zweck sollte die Anwendung offener internationaler Normen für Netzinformationssicherheit oder die Konzipierung entsprechender Tools in Erwägung gezogen werden. Ein weiterer Schritt könnte erforderlich sein, um harmonisierte Normen auszuarbeiten; Ein weiterer Schritt nach vorne könnte darin bestehen, harmonisierte Normen auszuarbeiten; dies sollte nach der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates29 geschehen. Insbesondere sollten das ETSI, das CEN und das CENELEC ermächtigt werden, effektive und effiziente offene EU-Sicherheitsstandards zu empfehlen, bei denen technische Voreinstellungen so weit wie möglich vermieden werden und die für kleine und mittlere Marktteilnehmer praktikabel sind. Internationale Normen bezüglich Cybersicherheit sollten sehr sorgfältig geprüft werden, um sicherzustellen, dass bei ihnen keine Abstriche gemacht wurden und dass sie ein ausreichend hohes Sicherheitsniveau bieten und somit sicherstellen, dass die gebotene Einhaltung der Cybersicherheitsstandards das Gesamtniveau der Cybersicherheit in der Union erhöht und nicht herabsetzt.

__________________

__________________

29 ABl. L 316, 14.11.2012, S. 12.

29 ABl. L 316, 14.11.2012, S. 12.

Änderungsantrag  31

Vorschlag für eine Richtlinie

Erwägung 33

Vorschlag der Kommission

Geänderter Text

(33) Die Kommission sollte diese Richtlinie regelmäßig überprüfen, insbesondere um festzustellen, ob sie veränderten technischen oder Marktbedingungen anzupassen ist.

(33) Die Kommission sollte diese Richtlinie regelmäßig in Abstimmung mit allen betroffenen Akteuren überprüfen, insbesondere um festzustellen, ob sie veränderten gesellschaftlichen, politischen, technischen oder Marktbedingungen anzupassen ist.

Änderungsantrag  32

Vorschlag für eine Richtlinie

Erwägung 34

Vorschlag der Kommission

Geänderter Text

(34) Damit das Kooperationsnetz ungehindert arbeiten kann, sollte der Kommission nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union die Befugnis übertragen werden, Rechtsakte zur Festlegung der Kriterien, die ein Mitgliedstaat erfüllen muss, um zur Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden, sowie der weiteren Spezifikation für Auslöser von Frühwarnungen und der Festlegung der Umstände, in denen für Marktteilnehmer und öffentliche Verwaltungen die Meldepflicht gilt, zu erlassen.

entfällt

Änderungsantrag  33

Vorschlag für eine Richtlinie

Erwägung 35

Vorschlag der Kommission

Geänderter Text

(35) Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeiten angemessene Konsultationen – auch auf der Ebene von Sachverständigen – durchführt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission sicherstellen, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und ordnungsgemäß übermittelt werden.

(35) Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen – auch mit allen Interessenträgern und auf der Ebene von Sachverständigen – durchführt. Die Kommission sollte eine gleichzeitige und frühzeitige Übermittlung der einschlägigen Dokumente an das Europäische Parlament und an den Rat in geeigneter Weise gewährleisten.

Änderungsantrag  34

Vorschlag für eine Richtlinie

Erwägung 36

Vorschlag der Kommission

Geänderter Text

(36) Zur Gewährleistung einheitlicher Voraussetzungen für die Umsetzung dieser Richtlinie sollten der Kommission Durchführungsbefugnisse in Bezug auf die Zusammenarbeit zwischen den zuständigen Behörden und der Kommission im Rahmen des Kooperationsnetzes, den Zugang zur sicheren Infrastruktur für den Informationsaustausch, den NIS-Kooperationsplan, die Formen und Verfahren zur Information der Öffentlichkeit über Sicherheitsvorfälle und NIS-bezogene Normen und/oder technische Spezifikationen übertragen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren30, ausgeübt werden.

(36) Zur Gewährleistung einheitlicher Voraussetzungen für die Umsetzung dieser Richtlinie sollten der Kommission, unbeschadet der Mechanismen der Zusammenarbeit auf nationaler Ebene, Durchführungsbefugnisse in Bezug auf die Zusammenarbeit zwischen den zentralen Anlaufstellen und der Kommission im Rahmen des Kooperationsnetzes, die Reihe gemeinsamer Standards hinsichtlich Zusammenschaltung und Sicherheit für die sichere Infrastruktur für den Informationsaustausch, den NIS-Kooperationsplan und die Formen und Verfahren für die Meldung von schwerwiegenden Vorfällen übertragen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren30, ausgeübt werden.

__________________

__________________

30 ABl. L 55, 28.2.2011, S.13.

30 ABl. L 55, 28.2.2011, S. 13.

Änderungsantrag  35

Vorschlag für eine Richtlinie

Erwägung 37

Vorschlag der Kommission

Geänderter Text

(37) Bei der Anwendung dieser Richtlinie sollte die Kommission gegebenenfalls mit den einschlägigen Ausschüssen und Einrichtungen auf EU-Ebene, insbesondere denen der Bereiche Energie, Verkehr und Gesundheit, in Kontakt stehen.

(37) Bei der Anwendung dieser Richtlinie sollte die Kommission gegebenenfalls mit den einschlägigen Ausschüssen und Einrichtungen auf EU-Ebene, insbesondere denen der Bereiche E-Government, Energie, Verkehr und Gesundheit, in Kontakt stehen.

Änderungsantrag  36

Vorschlag für eine Richtlinie

Erwägung 38

Vorschlag der Kommission

Geänderter Text

(38) Informationen, die nach den Vorschriften der Union und der Mitgliedstaaten über das Geschäftsgeheimnis von einer zuständigen Behörde als vertraulich eingestuft werden, sollten mit der Kommission und anderen zuständigen Behörden nur ausgetauscht werden, wenn sich dies für die Zwecke dieser Richtlinie als unbedingt erforderlich erweist. Der Informationsaustausch sollte im Umfang so begrenzt bleiben, dass er im Hinblick auf das verfolgte Ziel relevant und angemessen ist.

(38) Informationen, die nach den Vorschriften der Union und der Mitgliedstaaten über das Geschäftsgeheimnis von einer zentralen Anlaufstelle als vertraulich eingestuft werden, sollten mit der Kommission, deren einschlägigen Agenturen, zentralen Anlaufstellen und/oder weiteren zuständigen nationalen Behörden nur dann ausgetauscht werden, wenn sich dies für die Zwecke dieser Richtlinie als unbedingt erforderlich erweist. Der Informationsaustausch sollte im Umfang so begrenzt bleiben, dass er im Hinblick auf das verfolgte Ziel relevant, notwendig und angemessen ist und dass zuvor festgelegte Vertraulichkeits- und Sicherheitskriterien und Klassifizierungsprotokolle zur Regelung des Informationsaustauschprozesses beachtet werden.

Änderungsantrag  37

Vorschlag für eine Richtlinie

Erwägung 39

Vorschlag der Kommission

Geänderter Text

(39) Der Austausch von Informationen über Sicherheitsrisiken und -vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission31 entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr erfolgen.

(39) Der Austausch von Informationen über Sicherheitsrisiken und -vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden oder zentralen Anlaufstellen kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission31 entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr erfolgen.

__________________

__________________

31 ABl. L 145, 31.5.2001, S. 43.

31 ABl. L 145, 31.5.2001, S. 43.

Änderungsantrag  38

Vorschlag für eine Richtlinie

Erwägung 41 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(41a) Gemäß der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission vom 28. September 2011 zu erläuternden Dokumenten haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen der nationalen Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt.

Änderungsantrag  39

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – point b

Vorschlag der Kommission

Geänderter Text

b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter Weise mit Sicherheitsrisiken und -vorfällen, die Netze und Informationssysteme beeinträchtigen, umgegangen bzw. darauf reagiert werden kann;

b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter Weise mit Sicherheitsrisiken und -vorfällen, die Netze und Informationssysteme beeinträchtigen, unter Mitwirkung der Betroffenen umgegangen bzw. darauf reagiert werden kann;

Änderungsantrag  40

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6. Der Austausch von Informationen über das Kooperationsnetz nach Kapitel III und die Meldung von NIS-Vorfällen nach Artikel 14 können die Verarbeitung von personenbezogenen Daten erforderlich machen. Eine solche Verarbeitung personenbezogener Daten, die notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, wird von den Mitgliedstaaten nach Artikel 7 der Richtlinie 95/46/EG und der Richtlinie 2002/58/EG in ihrer in einzelstaatliches Recht umgesetzten Form genehmigt.

6. Der Austausch von Informationen über das Kooperationsnetz nach Kapitel III und die Meldung von NIS-Vorfällen nach Artikel 14 können eine Mitteilung an vertrauenswürdige Dritte sowie die Verarbeitung von personenbezogenen Daten erforderlich machen. Eine solche Verarbeitung personenbezogener Daten, die notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, wird von den Mitgliedstaaten nach Artikel 7 der Richtlinie 95/46/EG und der Richtlinie 2002/58/EG in ihrer in einzelstaatliches Recht umgesetzten Form genehmigt. Die Mitgliedstaaten erlassen Rechtsvorschriften gemäß Artikel 13 der Richtlinie 95/46/EG, um sicherzustellen, dass öffentliche Verwaltungen, Marktteilnehmer und zuständige Behörden nicht haftbar gemacht werden, wenn sie personenbezogene Daten verarbeiten, die für den Informationsaustausch im Rahmen des Kooperationsnetzes und der Meldung von Sicherheitsvorfällen benötigt werden.

Änderungsantrag  41

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten.

Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten, die sich im Einklang mit der Charta der Grundrechte der EU befinden.

Begründung

Der Ermessenspielraum, der den Mitgliedstaaten in Bezug auf Sicherheitsfragen eingeräumt wird, sollte von der Einhaltung der in der Charta der Grundrechte der EU anerkannten Rechte abhängig gemacht werden, sprich unter anderem von der Einhaltung des Rechts auf Achtung des Privatlebens und der Kommunikation, des Rechts auf Schutz personenbezogener Daten, des Rechts auf unternehmerische Freiheit und des Rechts auf einen wirksamen Rechtsbehelf.

Änderungsantrag  42

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 1 – point b

Vorschlag der Kommission

Geänderter Text

b) Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen sowie

b) Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, sowie

Änderungsantrag  43

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 1 – point c

Vorschlag der Kommission

Geänderter Text

c) Computerdaten, die von den in Buchstaben a und b genannten Elementen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

c) digitale Daten, die von den in Buchstaben a und b genannten Elementen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

Änderungsantrag  44

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 2

Vorschlag der Kommission

Geänderter Text

(2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind;

(2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind; nach dieser Definition umfasst „Sicherheit“ technische Geräte, Lösungen und Betriebsabläufe, die es ermöglichen, die in der vorliegenden Richtlinie vorgesehenen Sicherheitsanforderungen zu erfüllen;

Änderungsantrag  45

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 4

Vorschlag der Kommission

Geänderter Text

(4) „Sicherheitsvorfälle“ alle Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben;

(4) „Sicherheitsvorfälle“ alle nach vernünftigem Ermessen ermittelten Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben;

Begründung

Der ursprüngliche Wortlaut war zu allgemein und hätte die Anwendung der Definition erschwert.

Änderungsantrag  46

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 5

Vorschlag der Kommission

Geänderter Text

(5) „Dienst der Informationsgesellschaft“ einen Dienst im Sinne der Nummer 2 des Artikels 1 der Richtlinie 98/34/EG;

entfällt

Änderungsantrag  47

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 8 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen; Anhang II enthält eine nicht erschöpfende Liste solcher Anbieter;

entfällt

Änderungsantrag  48

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 7

Vorschlag der Kommission

Geänderter Text

(7) „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Analyse, Eindämmung und Reaktion im Falle von Sicherheitsvorfällen;

(7) „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Erkennung, Vorbeugung, Analyse, Eindämmung und Reaktion im Falle von Sicherheitsvorfällen;

Änderungsantrag  49

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 8

Vorschlag der Kommission

Geänderter Text

a) Anbieter von Diensten der Informationsgesellschaft, die die Bereitstellung anderer Dienste der Informationsgesellschaft ermöglichen; Anhang II enthält eine nicht erschöpfende Liste solcher Anbieter;

 

b) Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

b) öffentliche oder private Betreiber von Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Finanzmarkt und Gesundheit unerlässlich sind und deren Unterbrechung oder Zerstörung in einem Mitgliedstaat erhebliche Folgen hätte, weil deren Funktionsfähigkeit nicht aufrechterhalten werden könnte; Anhang II enthält eine Liste dieser Betreiber;

Änderungsantrag  50

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(8a) „Sicherheitsvorfall mit beträchtlichen Auswirkungen“ einen Sicherheitsvorfall, der die Sicherheit und Kontinuität eines Informationsnetzes oder –systems so stark beeinträchtigt, dass es zu erheblichen Störungen zentraler wirtschaftlicher und gesellschaftlicher Funktionen kommt;

Änderungsantrag  51

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 8 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(8b) „Dienst“ eine von einem Marktteilnehmer erbrachte Dienstleistung, unter Ausschluss aller anderen Dienstleistungen dieser öffentlichen Verwaltung oder dieses Marktteilnehmers;

Änderungsantrag  52

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 11 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(11a) „geregelter Markt“ einen Markt im Sinne von Absatz 4 Nummer 14 der Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates28a;

 

__________________

 

28a Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates vom 21. April 2004 über Märkte für Finanzinstrumente (ABl. L 45 vom 16.2.2005, S. 18).

Änderungsantrag  53

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 11 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(11b) „multilaterales Handelssystem (MTF)“ ein multilaterales Handelssystem im Sinne von Artikel 4 Nummer 15 der Richtlinie 2004/39/EG;

Änderungsantrag  54

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 11 c (neu)

Vorschlag der Kommission

Geänderter Text

 

(11c) „organisiertes Handelssystem“ (OTF) ein/eine von einer Wertpapierfirma oder einem Marktbetreiber betriebenes multilaterales System oder betriebene multilaterale Fazilität, bei dem/der es sich nicht um einen geregelten Markt oder ein multilaterales Handelssystem oder eine zentrale Gegenpartei handelt und das/die die Interessen einer Vielzahl Dritter am Kauf und Verkauf von Schuldverschreibungen, strukturierten Finanzprodukten, Emissionszertifikaten oder Derivaten innerhalb des Systems in einer Weise zusammenführt, die zu einem Vertrag gemäß den Bestimmungen des Titels II der Richtlinie 2004/39/EG führt;

Änderungsantrag  55

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Die Mitgliedstaaten gewährleisten in Übereinstimmung mit dieser Richtlinie eine hohe Netz- und Informationssicherheit in ihren Hoheitsgebieten.

Die Mitgliedstaaten gewährleisten in Übereinstimmung mit der Charta der Grundrechte der EU und mit dieser Richtlinie eine nachhaltige, kontinuierlich hohe Netz- und Informationssicherheit in ihren Hoheitsgebieten.

Begründung

Der Ermessenspielraum, der den Mitgliedstaaten in Bezug auf Sicherheitsfragen eingeräumt wird, sollte von der Einhaltung der in der Charta der Grundrechte der EU anerkannten Rechte abhängig gemacht werden, sprich unter anderem von der Einhaltung des Rechts auf Achtung des Privatlebens und der Kommunikation, des Rechts auf Schutz personenbezogener Daten, des Rechts auf unternehmerische Freiheit und des Rechts auf einen wirksamen Rechtsbehelf.

Änderungsantrag  56

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe e a (neu)

Vorschlag der Kommission

Geänderter Text

 

(ea) Die Mitgliedstaaten können die Europäische Agentur für Netz- und Informationssicherheit (ENISA) um Unterstützung bei der Entwicklung ihrer nationalen NIS-Strategien und ihrer nationalen NIS-Kooperationspläne auf der Basis eines gemeinsamen Konzepts für Mindestanforderungen an NIS-Strategien und -Kooperationspläne ersuchen.

Änderungsantrag  57

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) einen Risikobewertungsplan zur Bestimmung der Risiken und zur Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle;

a) einen Rahmen für das Risikomanagement, der die Bestimmung, Priorisierung, Evaluierung und Behandlung von Risiken, die Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle, Präventions- und Kontrollmöglichkeiten und Kriterien für die Auswahl möglicher Gegenmaßnahmen umfasst;

Änderungsantrag  58

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Festlegung der Aufgaben und Zuständigkeiten der verschiedenen an der Umsetzung des Plans Beteiligten;

b) Festlegung der Aufgaben und Zuständigkeiten der verschiedenen Behörden und anderen Akteure, die an der Umsetzung des Rahmens beteiligt sind;

Änderungsantrag  59

Vorschlag für eine Richtlinie

Artikel 6 – title

Vorschlag der Kommission

Geänderter Text

Für die Netz- und Informationssicherheit zuständige nationale Behörde

Für die Netz- und Informationssicherheit zuständige nationale Behörden und zentrale Anlaufstellen

Änderungsantrag  60

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Behörde (im Folgenden „zuständige Behörde“).

1. Jeder Mitgliedstaat benennt eine oder mehrere für die Netz- und Informationssicherheit zuständige nationale Behörden (im Folgenden „zuständige Behörde“).

Änderungsantrag  61

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a. Benennt ein Mitgliedstaat mehr als eine zuständige Behörde, benennt er eine nationale Behörde, beispielsweise eine zuständige Behörde, als nationale zentrale Anlaufstelle für die Netz- und Informationssicherheit (im Folgenden „zentrale Anlaufstelle“). Benennt ein Mitgliedstaat nur eine zuständige Behörde, ist diese zuständige Behörde auch die zentrale Anlaufstelle.

Änderungsantrag  62

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 b (neu)

Vorschlag der Kommission

Geänderter Text

 

2b. Die zuständigen Behörden und die zentrale Anlaufstelle eines Mitgliedstaats arbeiten im Hinblick auf die Verpflichtungen gemäß dieser Richtlinie eng zusammen.

Änderungsantrag  63

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 c (neu)

Vorschlag der Kommission

Geänderter Text

 

2c. Die zentrale Anlaufstelle sorgt für die länderübergreifende Zusammenarbeit mit anderen zentralen Anlaufstellen.

Änderungsantrag  64

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sind, damit sie die ihnen übertragenen Aufgaben wirksam und effizient wahrnehmen und die Ziele dieser Richtlinie erreicht werden. Die Mitgliedstaaten stellen eine wirksame, effiziente und sichere Zusammenarbeit der zuständigen Behörden über das in Artikel 8 genannte Netz sicher.

3. Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden und die zentralen Anlaufstellen mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sind, damit sie die ihnen übertragenen Aufgaben wirksam und effizient wahrnehmen und die Ziele dieser Richtlinie erreicht werden. Die Mitgliedstaaten stellen eine wirksame, effiziente und sichere Zusammenarbeit der zentralen Anlaufstellen über das in Artikel 8 genannte Netz sicher.

Änderungsantrag  65

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4. Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden von öffentlichen Verwaltungen und Marktteilnehmern die Meldungen der Sicherheitsvorfälle nach Artikel 14 Absatz 2 erhalten und ihnen die in Artikel 15 genannten Durchführungs- und Durchsetzungsbefugnisse eingeräumt werden.

4. Die Mitgliedstaaten gewährleisten, dass die zuständigen Behörden und die zentralen Anlaufstellen von den Marktteilnehmern die Meldungen der Sicherheitsvorfälle nach Artikel 14 Absatz 2 erhalten und ihnen die in Artikel 15 genannten Durchführungs- und Durchsetzungsbefugnisse eingeräumt werden.

Änderungsantrag  66

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Die zuständigen Behörden konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen.

5. Die zuständigen Behörden sind verpflichtet, die einschlägigen Datenschutzbehörden zu konsultieren und arbeiten gegebenenfalls mit den nationalen Strafverfolgungsbehörden und den Behörden zusammen.

Begründung

Gibt es nur eine Behörde, die für die Kontrolle auf nationaler Ebene zuständig ist, ohne dabei mit einer anderen, einen Ausgleich schaffenden Stelle zusammenzuarbeiten, ist dies dem Gleichgewicht zwischen dem Schutz der Sicherheit und der Freiheit abträglich.

Änderungsantrag  67

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Die zuständigen Behörden konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen.

5. Die zuständigen Behörden und die zentralen Anlaufstellen konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen.

Änderungsantrag  68

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6. Die Mitgliedstaaten teilen der Kommission unverzüglich die Benennung der zuständigen Behörde, deren Aufgaben sowie etwaige spätere Änderungen mit. Die Mitgliedstaaten machen die Benennung der zuständigen Behörde öffentlich bekannt.

6. Die Mitgliedstaaten teilen der Kommission unverzüglich die Benennung der zuständigen Behörden und der zentralen Anlaufstelle, deren Aufgaben sowie etwaige spätere Änderungen mit. Die Mitgliedstaaten machen die Benennung der zuständigen Behörden öffentlich bekannt.

Änderungsantrag  69

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Jeder Mitgliedstaat richtet ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

1. Jeder Mitgliedstaat richtet mindestens ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) für jeden in Anhang II festgelegten Bereich ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

Änderungsantrag  70

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Das CERT untersteht der Aufsicht der zuständigen Behörde, die die Angemessenheit der ihm zur Verfügung gestellten Ressourcen, sein Mandat und die Wirksamkeit seines Verfahrens zur Bewältigung von Sicherheitsvorfällen regelmäßig überprüft.

5. Die CERTs unterstehen der Aufsicht der zuständigen Behörde oder der zentralen Anlaufstelle, die die Angemessenheit der ihnen zur Verfügung gestellten Ressourcen, ihre Mandate und die Wirksamkeit ihrer Verfahren zur Bewältigung von Sicherheitsvorfällen regelmäßig überprüft.

Änderungsantrag  71

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a. Die Mitgliedstaaten stellen sicher, dass die CERTs mit angemessenen personellen und finanziellen Ressourcen ausgestattet sind, damit sie sich aktiv an internationalen Kooperationsnetzen und insbesondere Kooperationsnetzen der Union beteiligen können.

Änderungsantrag  72

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5 – Unterabsatz 1 (neu)

Vorschlag der Kommission

Geänderter Text

 

(1) Das CERT wird in die Lage versetzt und aufgefordert, gemeinsame Übungen mit bestimmten CERTs, mit den CERTs aller Mitgliedstaaten und mit entsprechenden Einrichtungen in Nicht-Mitgliedstaaten sowie mit CERTs von multinationalen und internationalen Institutionen wie NATO und VN zu initiieren und sich daran zu beteiligen.

Änderungsantrag  73

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a. Die Mitgliedstaaten können die Europäische Agentur für Netz- und Informationssicherheit (ENISA) oder andere Mitgliedstaaten um Unterstützung bei der Entwicklung ihrer nationalen CERTs ersuchen.

Änderungsantrag  74

Vorschlag für eine Richtlinie

Artikel 8

Vorschlag der Kommission

Geänderter Text

1. Die zuständigen Behörden und die Kommission bilden ein Netz (im Folgenden „Kooperationsnetz“) für die Zusammenarbeit bei der Bewältigung von Sicherheitsrisiken und -vorfällen, die Netze und Informationssysteme betreffen.

1. Die zentralen Anlaufstellen, die die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und die Kommission bilden ein Netz (im Folgenden „Kooperationsnetz“), in dem sie bei der Bewältigung von Sicherheitsrisiken und -vorfällen, die Netze und Informationssysteme betreffen, zusammenarbeiten.

2. Die Kommission und die zuständigen Behörden stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage kann die Europäische Agentur für Netz- und Informationssicherheit (ENISA) das Kooperationsnetz mit Know-how und Beratung unterstützen.

2. Die Kommission und die zentralen Anlaufstellen stehen über das Kooperationsnetz in ständigem Kontakt. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) unterstützt das Kooperationsnetz mit Know-how und Beratung. Das Kooperationsnetz arbeitet falls notwendig mit den Datenschutzbehörden zusammen.

3. Die zuständigen Behörden haben innerhalb des Netzes folgende Aufgaben:

3. Die zentralen Anlaufstellen haben innerhalb des Netzes folgende Aufgaben:

a) Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen nach Artikel 10;

a) Verbreitung von Frühwarnungen vor Sicherheitsrisiken und -vorfällen nach Artikel 10;

b) Gewährleistung einer koordinierten Reaktion nach Artikel 11;

b) Gewährleistung einer koordinierten Reaktion nach Artikel 11;

c) regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

c) regelmäßige Veröffentlichung nichtvertraulicher Informationen über laufende Frühwarnungen und koordinierte Reaktionen auf einer gemeinsamen Website;

 

(ca) gemeinsame Erörterung, Vereinbarung einer gemeinsamen Auslegung, einheitliche Anwendung und Koordinierung ihrer Maßnahmen in Bezug auf Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen laut Artikel 14 und auf Umsetzung und Durchsetzung laut Artikel 15;

(d) auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

(d) die gemeinsame Erörterung und Bewertung einer oder mehrerer der in Artikel 5 genannten nationalen NIS-Strategien und NIS-Kooperationspläne innerhalb des Geltungsbereichs der Richtlinie;

e) auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene;

e) auf Anfrage eines Mitgliedstaats oder der Kommission die gemeinsame Erörterung und Bewertung der Wirksamkeit der CERTs unverzüglich, insbesondere bei der Durchführung von NIS-Übungen auf Unionsebene, und Umsetzung von Maßnahmen zur Behebung erkannter Schwachstellen;

f) Zusammenarbeit und Informationsaustausch in Bezug auf alle einschlägigen Angelegenheiten mit dem bei Europol angesiedelten Europäischen Zentrum zur Bekämpfung der Cyberkriminalität und anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und Gesundheit;

f) Zusammenarbeit und Informationsaustausch in Bezug auf alle einschlägigen Angelegenheiten im Zusammenhang mit der Netz- und Informationssicherheit mit anderen einschlägigen europäischen Einrichtungen in den Bereichen Datenschutz, Energie, Verkehr, Banken, Börsen und Gesundheit;

 

(fa) Diskussion und Einigung über die gemeinsame Auslegung, konsequente Anwendung und harmonisierte Umsetzung der Bestimmungen aus Kapitel IV innerhalb der Union;

(g) Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

(g) Austausch von Informationen und bewährten Verfahren untereinander und mit der Kommission sowie gegenseitige Unterstützung beim Kapazitätsaufbau im Bereich der NIS;

(h) Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;

(h) Durchführung regelmäßiger gegenseitiger Überprüfungen der Kapazitäten und der Abwehrbereitschaft;

(i) Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.

(i) Durchführung von NIS-Übungen auf Unionsebene und gegebenenfalls Teilnahme an internationalen NIS-Übungen.

 

(ia) aktive Förderung der Beteiligung sowie Konsultation und Informationsaustausch mit Marktteilnehmern.

 

Die Kommission informiert das Kooperationsnetz regelmäßig über Sicherheitsforschung und andere entsprechende Programme von Horizont 2020.

 

3a. Marktteilnehmer und die zuständigen öffentlichen Verwaltungsbehörden werden, falls notwendig, auch zur Mitwirkung an den Aufgaben des Kooperationsnetzes gemäß Absatz 3 Buchstaben c, g, h und i aufgefordert.

 

3b. Sofern Informationen, Frühwarnungen oder bewährte Verfahren, die von Marktteilnehmern oder öffentlichen Verwaltungen stammen, innerhalb des Kooperationsnetzes ausgetauscht oder von diesem preisgegeben werden, erfolgt dieser Austausch bzw. diese Preisgabe im Einklang mit der in der ursprünglichen Quelle festgelegten Klassifizierung der Informationen gemäß Artikel 9 Absatz 1.

 

3c. Die Kommission veröffentlicht einmal jährlich einen Bericht über die vorangegangenen zwölf Monate, der sich auf seine Aufgaben bezieht und auf dem gemäß Artikel 14 Absatz 4 dieser Richtlinie vorgelegten zusammenfassenden Berichts beruht. Bei der Bekanntmachung jeglicher, einzelner Sicherheitsvorfälle, die den zuständigen Behörden und den zentralen Anlaufstellen gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den Marktteilnehmern, die solche Sicherheitsvorfälle gemeldet haben, entstehen kann. Eine solche Bekanntmachung darf nur nach vorheriger Konsultation durchgeführt werden.

4. Die Kommission legt mittels Durchführungsrechtsakten die erforderlichen Modalitäten für eine Erleichterung der in den Absätzen 2 und 3 genannten Zusammenarbeit zwischen den zuständigen Behörden und der Kommission fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 2 genannten Konsultationsverfahren angenommen.

4. Die Kommission legt mittels Durchführungsrechtsakten die erforderlichen Modalitäten für eine Erleichterung der in den Absätzen 2 und 3 genannten Zusammenarbeit zwischen den zentralen Anlaufstellen, der ENISA und der Kommission fest. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 2 genannten Konsultationsverfahren angenommen.

Änderungsantrag  75

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Der Austausch sensibler und vertraulicher Informationen über das Kooperationsnetz erfolgt über eine sichere Infrastruktur.

Der Austausch sensibler und vertraulicher Informationen über das Kooperationsnetz erfolgt über eine sichere Infrastruktur, die unter Aufsicht der ENISA betrieben wird. Die Mitgliedsstaaten sichern zu, dass von anderen Staaten oder der Kommission geteilte sensible oder geheime Informationen nicht mit Drittstaaten geteilt oder zweckfremd, beispielsweise für Geheimdiensttätigkeiten oder Wirtschaftsentscheidungen, genutzt werden;

Änderungsantrag  76

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 2 – Einleitung

Vorschlag der Kommission

Geänderter Text

2. Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, die die Festlegung von Kriterien im Hinblick auf nachstehende Aspekte betreffen, die ein Mitgliedstaat zu erfüllen hat, um für die Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden:

2. Die Kommission wird nach Artikel 19 ermächtigt, Durchführungsrechtsakte zu erlassen, die die Festlegung von Kriterien im Hinblick auf nachstehende Aspekte betreffen, die eine zentrale Anlaufstelle zu erfüllen hat, um für die Teilnahme am sicheren System für den Informationsaustausch zugelassen zu werden:

Änderungsantrag  77

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Die Kommission erlässt nach den in den Absätzen 2 und 3 genannten Kriterien mittels Durchführungsrechtsakten Beschlüsse über den Zugang der Mitgliedstaaten zu dieser sicheren Infrastruktur. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

3. Die Kommission erlässt mittels Durchführungsrechtsakten ein einheitliches Paket von Zusammenschlüssen und Sicherheitsstandards, die zentrale Anlaufstellen für einen Informationsaustausch erfüllen müssen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

Änderungsantrag  78

Vorschlag für eine Richtlinie

Artikel 10

Vorschlag der Kommission

Geänderter Text

1. Die zuständigen Behörden oder die Kommission geben im Kooperationsnetz Frühwarnungen zu solchen Sicherheitsrisiken und -vorfällen aus, die mindestens eine der folgenden Voraussetzungen erfüllen:

1. Die zentralen Anlaufstellen oder die Kommission geben im Kooperationsnetz Frühwarnungen zu solchen Sicherheitsrisiken und -vorfällen aus, die mindestens eine der folgenden Voraussetzungen erfüllen:

a) sie weiten sich rasch aus oder können sich rasch ausweiten;

 

b) sie übersteigen die nationale Reaktionskapazität oder können diese übersteigen;

b) die zentrale Anlaufstelle beurteilt, ob das Sicherheitsrisiko oder der Sicherheitsvorfall rasch wächst oder rasch wachsen könnte und die nationale Reaktionskapazität möglicherweise übersteigt;

c) sie betreffen oder können mehr als einen Mitgliedstaat betreffen.

c) die zentrale Anlaufstelle gelangt zu der Einschätzung, dass das Sicherheitsrisiko oder der Sicherheitsvorfall mehr als einen Mitgliedstaat betrifft.

2. Bei Frühwarnungen stellen die zuständigen Behörden und die Kommission alle in ihrem Besitz befindlichen relevanten Informationen zur Verfügung, die für die Beurteilung der Sicherheitsrisiken oder -vorfälle von Nutzen sein können.

2. Bei Frühwarnungen stellen die zentralen Anlaufstellen und die Kommission unverzüglich alle in ihrem Besitz befindlichen relevanten Informationen zur Verfügung, die für die Beurteilung der Sicherheitsrisiken oder -vorfälle von Nutzen sein können. Informationen, die von dem betroffenen Marktteilnehmer als klassifiziert oder vertraulich eingestuft werden, sowie die Identität dieses Marktteilnehmers werden nur in dem Umfang offengelegt, wie dies zur Beurteilung des Risikos oder des Sicherheitsvorfalls erforderlich ist.

3. Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante Informationen zu einem bestimmten Sicherheitsrisiko oder -vorfall vorzulegen.

3. Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante, nicht als Verschlusssache eingestufte Informationen zu einem bestimmten Sicherheitsrisiko oder -vorfall vorzulegen.

4. Hat das der Frühwarnung zugrundeliegende Sicherheitsrisiko bzw. der Sicherheitsvorfall einen mutmaßlich kriminellen Hintergrund, informieren die zuständigen Behörden oder die Kommission das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität.

4. Hat das der Frühwarnung zugrundeliegende Sicherheitsrisiko bzw. der Sicherheitsvorfall einen mutmaßlich schwerwiegenden kriminellen Hintergrund, setzen sich die zentralen Anlaufstellen und die Kommission falls erforderlich mit den Behörden zur Bekämpfung von Cyberkriminalität in Verbindung und versetzen sie in die Lage, unverzüglich mit dem Europäischen Zentrum zur Bekämpfung der Cyberkriminalität zusammenzuarbeiten und Informationen mit diesem auszutauschen.

 

4 a. Mitglieder des Kooperationsnetzes veröffentlichen gemäß Absatz 1 keinerlei erhaltene Informationen bezüglich Sicherheitsrisiken oder -vorfälle, ohne die vorherige Genehmigung der meldenden zentralen Anlaufstelle erhalten zu haben.

 

4b. Hat das der Frühwarnung zugrundeliegende Sicherheitsrisiko bzw. der Sicherheitsvorfall einen mutmaßlich schwerwiegenden grenzüberschreitenden technischen Hintergrund, informieren die zuständigen Behörden oder die zentralen Anlaufstellen oder die Kommission Kommission die ENISA.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Artikel 18 zur Präzisierung der Sicherheitsrisiken und -vorfälle zu erlassen, die die in Absatz 1 genannten Frühwarnungen auslösen.

5. Die Kommission wird ermächtigt, Durchführungsrechtsakte nach Artikel 19 zur Präzisierung der Sicherheitsrisiken und -vorfälle zu erlassen, die die in Absatz 1 genannten Frühwarnungen sowie die Verfahren zur Weitergabe sensibler Informationen für Marktteilnehmer auslösen.

Änderungsantrag  79

Vorschlag für eine Richtlinie

Artikel 11 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Im Anschluss an eine Frühwarnung nach Artikel 10 einigen sich die zuständigen Behörden nach einer Bewertung der einschlägigen Informationen auf eine koordinierte Reaktion gemäß dem in Artikel 12 genannten NIS-Kooperationsplan der Union.

1. Im Anschluss an eine Frühwarnung nach Artikel 10 einigen sich die zentralen Anlaufstellen unverzüglich nach einer Bewertung der einschlägigen Informationen auf eine koordinierte Reaktion gemäß dem in Artikel 12 genannten NIS-Kooperationsplan der Union.

Änderungsantrag  80

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 2 – point a – indent 1

Vorschlag der Kommission

Geänderter Text

– die Festlegung der Form und der Verfahren für die Einholung und den Austausch geeigneter und vergleichbarer Informationen über Sicherheitsrisiken und -vorfälle durch die zuständigen Behörden,

– die Festlegung der Form und der Verfahren für die Einholung und den Austausch geeigneter und vergleichbarer Informationen über Sicherheitsrisiken und -vorfälle durch die zentralen Anlaufstellen,

Änderungsantrag  81

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Der NIS-Kooperationsplan wird spätestens ein Jahr nach dem Inkrafttreten dieser Richtlinie angenommen und regelmäßig überarbeitet.

3. Der NIS-Kooperationsplan wird spätestens ein Jahr nach dem Inkrafttreten dieser Richtlinie angenommen und regelmäßig überarbeitet. Über die Ergebnisse jeder Überarbeitung wird dem Europäischen Parlament Bericht erstattet.

Änderungsantrag  82

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a. Die Kommission legt einen Haushaltsplan für die Entwicklung des NIS-Kooperationsplans der Union vor.

Änderungsantrag  83

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Notwendigkeit eines angemessenen Schutzes der im Kooperationsnetz zirkulierenden personenbezogenen Daten Rechnung getragen.

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In den Vereinbarungen werden die zur Sicherstellung des Schutzes der im Kooperationsnetz zirkulierenden personenbezogenen Daten umzusetzenden Kontrollverfahren angegeben. Das Europäische Parlament wird über die Verhandlungen in Bezug auf die Vereinbarung in Kenntnis gesetzt und die Transparenz des Inhalts der Vereinbarung wird sichergestellt. Die Übermittlung personenbezogener Daten an Empfänger in Ländern außerhalb der Union erfolgt nach Maßgabe der Artikel 25 und 26 der Richtlinie 95/46/EG und des Artikels 9 der Verordnung (EG) Nr. 45/2001.

Begründung

Die mit anderen Ländern oder Sicherheitsbehörden geschlossenen internationalen Vereinbarungen müssen zwingend einen Mechanismus zur Kontrolle der Achtung der bürgerlichen Rechte enthalten. Zudem sollte eine wirksame demokratische Kontrolle der Vereinbarungen vonseiten des Europäischen Parlaments ausgeübt werden, welches rechtzeitig über die Inhalte der Verhandlungen über die Vereinbarung in Kenntnis zu setzen ist.

Änderungsantrag  84

Vorschlag für eine Richtlinie

Artikel 14

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen und Marktteilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Maß an Sicherheit gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihre Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wird.

1. Die Mitgliedstaaten stellen sicher, dass die Marktteilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu erkennen und effektiv zu verwalten. Diese angemessenen Maßnahmen müssen unter Berücksichtigung der technologischen Entwicklungen für ein Maß an Sicherheit sorgen, das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihre Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wird.

2. Die Mitgliedstaaten gewährleisten, dass öffentliche Verwaltungen und Marktteilnehmer den zuständigen Behörden Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Sicherheit der von ihnen bereitgestellten Kerndienste haben.

2. Die Mitgliedstaaten ergreifen Maßnahmen, die gewährleisten, dass die Marktteilnehmer den zuständigen Behörden Sicherheitsvorfälle unverzüglich melden, die erhebliche Auswirkungen auf die Sicherheit oder Kontinuität der von ihnen bereitgestellten Kerndienste haben. Die Benachrichtigung führt nicht zu einer größeren Haftung der benachrichtigenden Seite. Zur Feststellung des Ausmaßes der Auswirkungen eines Sicherheitsvorfalls werden unter anderem folgende Parameter herangezogen:

 

a) die Anzahl der Nutzer, deren Kerndienst betroffen ist;

 

b) die Dauer des Sicherheitsvorfalls;

 

c) die geografische Ausbreitung im Sinne des von dem Sicherheitsvorfall betroffenen Gebiets.

 

Diese Kriterien werden gemäß Artikel 8 Absatz 3 Buchstabe c a (neu) näher bestimmt.

 

2a. Die nicht unter Anhang II fallenden Einrichtungen können die Vorfälle gemäß Artikel 14 Absatz 2 freiwillig melden.

 

2b. Der Empfänger eines Sicherheitsberichts unterrichtet die Einrichtung, die den Vorfall gemeldet hat, unverzüglich von den ergriffenen Maßnahmen sowie über sämtliche informierte Dritte und die Sicherheits und Verschlussprotokolle, die für die ausgetauschten Informationen gelten.

3. Die Anforderungen der Absätze 1 und 2 gelten für alle Marktteilnehmer, die Dienste in der Europäischen Union bereitstellen.

3. Die Anforderungen der Absätze 1 und 2 gelten für alle Marktteilnehmer, die Dienste in der Europäischen Union bereitstellen. Marktteilnehmer, die keine Dienste in der Europäischen Union anbieten, können auf freiwilliger Basis über Vorfälle berichten.

 

3a. Die Mitgliedstaaten stellen sicher, dass die Marktteilnehmer den zuständigen Behörden oder der zentralen Anlaufstelle des Mitgliedstaats, in dem ein Kerndienst betroffen ist, die in den Absätzen 1 und 2 genannten Sicherheitsvorfälle melden. Sind Kerndienste in mehreren Mitgliedstaaten betroffen, warnt die zentrale Anlaufstelle, bei der die Meldung eingegangen ist, die anderen betroffenen zentralen Anlaufstellen und stützt sich dabei auf die vom Marktteilnehmer übermittelten Angaben. Der Marktteilnehmer wird unverzüglich davon in Kenntnis gesetzt, welche weiteren zentralen Anlaufstellen von dem Vorfall unterrichtet und welche Maßnahmen eingeleitet wurden. Er erhält ferner sämtliche Informationen, die für den Vorfall relevant sind.

4. Die zuständige Behörde kann die Öffentlichkeit unterrichten oder die öffentliche Verwaltung und die Marktteilnehmer zur Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntmachung des Sicherheitsvorfalls im öffentlichen Interesse liegt. Die zuständige Behörde legt dem Kooperationsnetz jährlich einen zusammenfassenden Bericht über die eingegangenen Meldungen und die nach diesem Absatz ergriffenen Maßnahmen vor.

4. Nach Konsultation der zuständigen Behörde und des betroffenen Marktteilnehmers unterrichtet die zentrale Anlaufstelle die Öffentlichkeit über einzelne Sicherheitsvorfälle, wenn sie zu dem Ergebnis gelangt, dass der Öffentlichkeit der Sachverhalt bekannt sein muss, damit weiteren Sicherheitsvorfällen vorgebeugt werden kann oder noch andauernde Sicherheitsvorfälle behandelt werden können, die Vertreter der Öffentlichkeit in die Lage versetzt werden müssen, Folgen aus dem Vorfall für sie selbst abzumildern oder wenn ein von einem Sicherheitsvorfall betroffener Marktteilnehmer es abgelehnt hat, unverzüglich auf eine im Zusammenhang mit diesem Sicherheitsvorfall gravierende strukturelle Schwachstelle zu reagieren. Die zentrale Anlaufstelle muss eine solche Entscheidung angemessen begründen. Wenn dies für möglich gehalten wird, übermittelt die zuständige Behörde oder die zentrale Anlaufstelle den Marktteilnehmern, die den Vorfall gemeldet haben, strategische, analysierte Informationen, die dazu beitragen, die sicherheitsrelevante Bedrohung zu überwinden. Die zentrale Anlaufstelle legt dem Kooperationsnetz zweimal jährlich einen zusammenfassenden Bericht über die eingegangenen Meldungen und die nach diesem Absatz ergriffenen Maßnahmen vor. Bei der Bekanntmachung jeglicher, einzelner Sicherheitsvorfälle, die den zuständigen Behörden und den zentralen Anlaufstellen gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den Marktteilnehmern, die solche Sicherheitsvorfälle gemeldet haben, entstehen kann. Eine solche Bekanntmachung darf nur nach vorheriger Konsultation durchgeführt werden.

 

Werden dem Kooperationsnetz im Sinne des Artikels 8 Sicherheitsvorfälle gemeldet, veröffentlichen andere nationale zuständige Behörden keine bezüglich der Risiken oder Sicherheitsvorfälle erhaltenen Informationen, ohne die Genehmigung der unterrichtenden zuständigen Behörde erhalten zu haben.

5. Die Kommission wird nach Artikel 18 ermächtigt, delegierte Rechtsakte zu erlassen, in denen festgelegt wird, unter welchen Umständen bei Sicherheitsvorfällen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt.

 

6. Vorbehaltlich etwaiger nach Absatz 5 erlassener delegierter Rechtsakte können die zuständigen Behörden Leitlinien annehmen und erforderlichenfalls Anweisungen zu den Umständen herausgeben, in denen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt.

6. Die zuständigen Behörden oder die zentrale Anlaufstelle nehmen Leitlinien zu den Umständen an, in denen für Marktteilnehmer die Meldepflicht gilt.

7. Die Kommission wird ermächtigt, mittels Durchführungsrechtsakten die für die Zwecke des Absatzes 2 geltenden Formen und Verfahren festzulegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

7. Die Kommission wird ermächtigt, mittels Durchführungsrechtsakten die für die Zwecke des Absatzes 2 geltenden Formen und Verfahren festzulegen. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

8. Die Absätze 1 und 2 gelten nicht für Kleinstunternehmen im Sinne der Definition der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen35.

8. Die Absätze 1 und 2 gelten nicht für Kleinstunternehmen im Sinne der Definition der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen35.

_______________

______________

35 ABl. L 124, 20.5.2003, S. 36.

35 ABl. L 124, 20.5.2003, S. 36.

Änderungsantrag  85

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 4 – Unterabsatz 1 (neu)

Vorschlag der Kommission

Geänderter Text

 

Zusätzlich zur Meldung an die zuständigen Behörden werden die Marktteilnehmer ermutigt, Sicherheitsvorfälle, an denen ihre Unternehmen beteiligt sind, freiwillig in ihren Finanzberichten bekannt zu geben.

Begründung

Sicherheitsvorfälle im IT-Bereich können hohe finanzielle Verluste und erhebliche Kosten verursachen. Aktionäre und Investoren sollten über die Folgen solcher Sicherheitsvorfälle unterrichtet werden. Indem Unternehmen dazu ermutigt werden, freiwillig Sicherheitsvorfälle im IT-Bereich zu veröffentlichen, könnte die sektorübergreifende Diskussion über die Wahrscheinlichkeit künftiger Sicherheitsvorfälle, die Dimension dieser Risiken und die Angemessenheit der ergriffenen Vorbeugungsmaßnahmen zur Verringerung von Sicherheitslücken im IT-Bereich angeregt werden.

Änderungsantrag  86

Vorschlag für eine Richtlinie

Artikel 15

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten gewährleisten, dass den zuständigen Behörden alle Befugnisse eingeräumt werden, die für die Untersuchung von Verstößen der öffentlichen Verwaltungen oder der Marktteilnehmer gegen die Verpflichtungen des Artikels 14 sowie deren Auswirkungen auf die Netz- und Informationssicherheit erforderlich sind.

1. Die Mitgliedstaaten gewährleisten, dass den zuständigen Behörden und den zentralen Anlaufstellen die Befugnisse eingeräumt werden, um sicherzustellen, dass die Verpflichtungen des Artikels 14 sowie deren Auswirkungen auf die Netz- und Informationssicherheit beachtet werden.

2. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, von den Marktteilnehmern und den öffentlichen Verwaltungen zu verlangen, dass sie

2. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen befugt sind, von den Marktteilnehmern zu verlangen, dass sie

a) die zur Beurteilung der Sicherheit ihrer Netze und Informationssysteme erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln;

a) die zur Beurteilung der Sicherheit ihrer Netze und Informationssysteme erforderlichen Informationen, einschließlich der Unterlagen über ihre Sicherheitsmaßnahmen, übermitteln;

b) sich einer Sicherheitsüberprüfung unterziehen, die von einer qualifizierten unabhängigen Stelle oder einer zuständigen nationalen Behörde durchgeführt wird, und deren Ergebnisse der zuständigen Behörde übermitteln.

b) Belege über die tatsächliche Umsetzung der Sicherheitsmaßnahmen vorlegen, beispielsweise die Ergebnisse einer Sicherheitsüberprüfung, die von internen Prüfern, einer qualifizierten unabhängigen Stelle oder einer nationalen Behörde durchgeführt wurde, und die Belege an die zuständige Behörde oder die zentrale Anlaufstelle übermitteln; dabei kann die zuständige Behörde oder die zentrale Anlaufstelle, falls notwendig, zusätzliche Belege verlangen oder ausnahmsweise und mit Abgabe einer Begründung eine zusätzliche Überprüfung durchführen.

 

Die zuständigen Behörden und die zentralen Anlaufstellen nennen bei Übermittlung ihres Ersuchens dessen Zweck und geben hinreichend genau an, welche Angaben verlangt werden.

3. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden befugt sind, Marktteilnehmern und öffentlichen Verwaltungen verbindliche Anweisungen zu erteilen.

3. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden und die zentralen Anlaufstellen befugt sind, allen in Anhang II aufgeführten Marktteilnehmern verbindliche Anweisungen zu erteilen.

4. Die zuständigen Behörden melden den Strafverfolgungsbehörden Sicherheitsvorfälle, bei denen ein schwerwiegender krimineller Hintergrund vermutet wird.

4. Die zuständigen Behörden und die zentrale Anlaufstelle informieren die betroffenen Marktteilnehmer über die Möglichkeit, bei Sicherheitsvorfällen, bei denen ein schwerwiegender krimineller Hintergrund vermutet wird, bei den Strafverfolgungsbehörden Anklage zu erheben.

5. Bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, arbeiten die zuständigen Behörden eng mit den Datenschutzbehörden zusammen.

5. Unbeschadet der geltenden rechtlichen Bestimmungen zum Datenschutz arbeiten die zuständigen behörden und zentralen Anlaufstellen bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, eng mit den Datenschutzbehörden zusammen. Die zentralen Anlaufstellen und die Datenschutzbehörden entwickeln in Zusammenarbeit mit der ENISA Mechanismen für den Informationsaustausch und ein einheitliches Muster für Meldungen nach Artikel 14 Absatz 2 dieser Richtlinie und der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

 

Die Kommission kann in Zusammenarbeit mit der ENISA durch die Annahme von Durchführungsrechtsakten und unter strenger Berücksichtigung sämtlicher Mechanismen zum Informationsaustausch und des von den zentralen Anlaufstellen und Datenschutzbehörden entwickelten einheitlichen Musters Verfahren für Mechanismen zum Informationsaustausch und das Format des einheitlichen Musters festlegen.

6. Die Mitgliedstaaten gewährleisten, dass alle Verpflichtungen, die öffentlichen Verwaltungen oder Marktteilnehmern nach diesem Kapitel auferlegt werden, einer gerichtlichen Nachprüfung unterzogen werden können.

6. Die Mitgliedstaaten gewährleisten, dass alle Verpflichtungen, die Marktteilnehmern nach diesem Kapitel auferlegt werden, einer gerichtlichen Nachprüfung unterzogen werden können.

Änderungsantrag  87

Vorschlag für eine Richtlinie

Artikel 16

Vorschlag der Kommission

Geänderter Text

1. Um eine einheitliche Umsetzung des Artikels 14 Absatz 1 zu gewährleisten, fördern die Mitgliedstaaten die Anwendung einschlägiger Normen und/oder Spezifikationen für die Netz- und Informationssicherheit.

1. Um eine einheitliche Umsetzung des Artikels 14 Absatz 1 zu gewährleisten, fördern die Mitgliedstaaten unter Einhaltung der Rechtsvorschriften der EU die Anwendung einschlägiger offener europäischer und internationaler interoperabler Normen und/oder Spezifikationen für die Netz- und Informationssicherheit, ohne jedoch die Anwendung einer bestimmten Technologie vorzuschreiben.

2. Die Kommission stellt mittels Durchführungsrechtsakten eine Liste der in Absatz 1 genannten Normen auf. Diese Liste wird im Amtsblatt der Europäischen Union veröffentlicht.

2. Die Kommission erteilt der zuständigen europäischen Standardisierungsstelle nach Rücksprache mit den maßgeblichen Akteuren das Mandat zur Erstellung einer Liste mit den in Absatz 1 genannten Normen und/oder Spezifikationen. Diese Liste wird im Amtsblatt der Europäischen Union veröffentlicht.

Änderungsantrag  88

Vorschlag für eine Richtlinie

Artikel 17 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten erlassen Vorschriften über Sanktionen für Verstöße gegen die nach dieser Richtlinie erlassenen nationalen Bestimmungen und treffen alle erforderlichen Maßnahmen, um deren Anwendung sicherzustellen. Diese Sanktionen müssen wirksam, angemessen und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften spätestens zum Zeitpunkt der Umsetzung dieser Richtlinie mit und melden ihr etwaige spätere Änderungen unverzüglich.

1. Die Mitgliedstaaten erlassen Vorschriften über Sanktionen für vorsätzliche oder grob fahrlässige Verstöße gegen die nach dieser Richtlinie erlassenen nationalen Bestimmungen und treffen alle erforderlichen Maßnahmen, um deren Anwendung sicherzustellen. Diese Sanktionen müssen wirksam, angemessen und abschreckend sein. Die Mitgliedstaaten teilen der Kommission diese Vorschriften spätestens zum Zeitpunkt der Umsetzung dieser Richtlinie mit und melden ihr etwaige spätere Änderungen unverzüglich.

Begründung

Es sollte klargestellt werden, dass Sanktionen für Verstöße nur angewendet werden können, wenn Marktteilnehmer nicht alle erforderlichen Maßnahmen ergriffen haben, die nach vernünftigem Ermessen von ihnen erwartet werden konnten. Andernfalls könnten die Marktteilnehmer davon abgehalten werden, Sicherheitsvorfälle zu melden.

Änderungsantrag  89

Vorschlag für eine Richtlinie

Artikel 17 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a. Die Mitgliedstaaten stellen sicher, dass die in Absatz 1 dieses Artikels genannten Sanktionen nur dann Anwendung finden, wenn der Marktteilnehmer vorsätzlich oder grob fahrlässig gegen seine Verpflichtungen nach Kapitel IV verstoßen hat.

Änderungsantrag  90

Vorschlag für eine Richtlinie

Artikel 18

Vorschlag der Kommission

Geänderter Text

Artikel 18

entfällt

Ausübung der Befugnisübertragung

 

1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission nach Maßgabe dieses Artikels übertragen.

 

2. Die in Artikel 9 Absatz 2, Artikel 10 Absatz 5 und Artikel 14 Absatz 5 genannte Befugnis zum Erlass delegierter Rechtsakte wird der Kommission übertragen. Die Kommission legt spätestens neun Monate vor Ablauf des Fünfjahreszeitraums einen Bericht über die übertragenen Befugnisse vor. Die Befugnisübertragung verlängert sich stillschweigend um Zeiträume gleicher Länge, es sei denn, das Europäische Parlament oder der Rat widerspricht einer solchen Verlängerung spätestens drei Monate vor Ablauf des jeweiligen Zeitraums.

 

3. Die in Artikel 9 Absatz 2, Artikel 10 Absatz 5 und Artikel 14 Absatz 5 genannte Befugnisübertragung kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit der bereits in Kraft getretenen delegierten Rechtsakte.

 

4. Sobald die Kommission einen delegierten Rechtsakt erlassen hat, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

 

5. Ein delegierter Rechtsakt, der nach Artikel 9 Absatz 2, Artikel 10 Absatz 5 und Artikel 14 Absatz 5 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von zwei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben hat oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Diese Frist wird auf Initiative des Europäischen Parlaments oder des Rates um zwei Monate verlängert.

 

Änderungsantrag  91

Vorschlag für eine Richtlinie

Artikel 20 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Die Kommission überprüft das Funktionieren dieser Richtlinie regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Die Kommission überprüft das Funktionieren dieser Richtlinie alle drei Jahre und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens zwei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Begründung

Um den sich ändernden Bedrohungen und Bedingungen im Bereich der Netzsicherheit Rechnung zu tragen, muss Anhang II regelmäßig überprüft und bearbeitet werden.

Änderungsantrag  92

Vorschlag für eine Richtlinie

Anhang 1 – Überschrift 1

Vorschlag der Kommission

Geänderter Text

IT-Notfallteam (Computer Emergency Response Team, CERT) – Anforderungen und Aufgaben

IT-Notfallteams (Computer Emergency Response Teams, CERTs) – Anforderungen und Aufgaben

Änderungsantrag  93

Vorschlag für eine Richtlinie

Anhang 1 – Absatz 1 – Einleitung

Vorschlag der Kommission

Geänderter Text

Die Anforderungen an das CERT und seine Aufgaben werden angemessen und genau festgelegt und durch nationale Strategien und/oder Vorschriften gestützt. Sie müssen Folgendes umfassen:

Die Anforderungen an die CERTs und ihre Aufgaben werden angemessen und genau festgelegt und durch nationale Strategien und/oder Vorschriften gestützt. Sie müssen Folgendes umfassen:

 

(Diese Änderung gilt im gesamten Text von Anhang I.)

Änderungsantrag  94

Vorschlag für eine Richtlinie

Anhang 1 – Absatz 1 – Nummer 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) Das CERT gewährleistet die hohe Verfügbarkeit seiner Kommunikationsdienste durch Vermeidung kritischer Ausfallverursacher und durch Bereitstellung verschiedener Kanäle, damit das CERT ständig erreichbar bleibt und selbst Kontakt aufnehmen kann. Die Kommunikationskanäle müssen genau spezifiziert sein und den CERT-Nutzern (Constituency) und Kooperationspartnern bekannt gegeben werden.

a) Die CERTs gewährleisten die hohe Verfügbarkeit ihrer Kommunikationsdienste durch Vermeidung kritischer Ausfallverursacher und durch Bereitstellung verschiedener Kanäle, damit die CERTs ständig erreichbar bleiben und selbst Kontakt aufnehmen können. Die Kommunikationskanäle müssen genau spezifiziert sein und den CERT-Nutzern (Constituency) und Kooperationspartnern bekannt gegeben werden.

Änderungsantrag  95

Vorschlag für eine Richtlinie

Anhang 1 – Absatz 1 – Nummer 1 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

c) Die CERT-Dienststellen und die unterstützenden Informationssysteme werden an sicheren Standorten eingerichtet.

c) Die CERTs-Dienststellen und die unterstützenden Informationssysteme werden an sicheren Standorten und mit gesicherten Netzen und Informationssystemen eingerichtet.

Änderungsantrag  96

Vorschlag für eine Richtlinie

Anhang 1 – Absatz 1 – Nummer 2 – Buchstabe a – Spiegelstrich 1

Vorschlag der Kommission

Geänderter Text

– Überwachung von Sicherheitsvorfällen auf nationaler Ebene;

Erkennung und Überwachung von Sicherheitsvorfällen auf nationaler Ebene;

Änderungsantrag  97

Vorschlag für eine Richtlinie

Anhang 1 – Absatz 1 – Nummer 2 – Buchstabe a – Spiegelstrich 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

– aktive Beteiligung an internationalen CERT-Kooperationsnetzen sowie CERT-Kooperationsnetzen der Union;

Änderungsantrag  98

Vorschlag für eine Richtlinie

Anhang II

Vorschlag der Kommission

Geänderter Text

Liste der Marktteilnehmer

Liste der Marktteilnehmer

1. Energie

1. Energie

 

a) Strom

 

- Zulieferer

 

- Fernleitungsnetzbetreiber und Endkundenlieferanten

 

- Übertragungsnetzbetreiber (Strom)

 

- Marktteilnehmer (Strom)

 

b) Erdöl

 

- Erdöl-Fernleitungen und Erdöllager

 

- Betreiber von Anlagen zur Produktion, Raffination und Behandlung von Erdöl, Erdöllagern und -fernleitungen

 

c) Erdgas

 

- Zulieferer

 

- Fernleitungsnetzbetreiber und Endkundenlieferanten

 

- Erdgas-Fernleitungsnetzbetreiber, Erdgasspeicher- und LNG-Anlagenbetreiber

 

- Betreiber von Anlagen zur Produktion, Raffination und Behandlung von Erdgas, Erdgasspeichern und -fernleitungen

 

- Marktteilnehmer (Erdgas)

2. Verkehr

2. Verkehr

 

a) Straßenverkehr

 

(i) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

 

(ii) unterstützende Logistikdienste:

 

- Lagerhaltung und Lagerung

 

- Frachtumschlagsleistungen und

 

- andere unterstützende Verkehrsleistungen

 

b) Eisenbahnverkehr

 

(i) Eisenbahnen (Infrastrukturbetreiber, integrierte Unternehmen und Eisenbahnunternehmen)

 

(ii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

 

(iii) - unterstützende Logistikdienste:

 

- Lagerhaltung und Lagerung

 

- Frachtumschlagsleistungen und

 

- andere unterstützende Verkehrsleistungen

 

c) Luftverkehr

 

(i) Luftfahrtunternehmen (Luftfrachtverkehr und Personenbeförderung)

 

(ii) Flughäfen

 

(iii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

 

(iv) unterstützende Logistikdienste:

 

- Lagerhaltung,

 

- Frachtumschlagsleistungen und

 

- andere unterstützende Verkehrsleistungen

 

(d) Seeverkehr

 

(i) Beförderungsunternehmen des Seeverkehrs (Personen- und Güterbeförderung in der Binnen-, See- und Küstenschifffahrt)

 

(ii) Häfen

 

(iii) Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen

 

(iv) unterstützende Logistikdienste:

 

- Lagerhaltung und Lagerung

 

- Frachtumschlagsleistungen und

 

- andere unterstützende Verkehrsleistungen

 

2a. Wasserwirtschaft

3. Bankwesen: Kreditinstitute nach Artikel 4 Absatz 1 der Richtlinie 2006/48/EG.

3. Bankwesen: Kreditinstitute nach Artikel 4 Absatz 1 der Richtlinie 2006/48/EG.

4. Finanzmarktinfrastrukturen: Börsen und Clearingstellen mit zentraler Gegenpartei

4. Finanzmarktinfrastrukturen: geregelte Märkte, multilaterales Handelssysteme, organisierte Handelssysteme, Internet-Zahlungs-Gateways und Clearingstellen mit zentraler Gegenpartei

5. Gesundheitswesen: Einrichtungen der medizinischen Versorgung (einschließlich Krankenhäusern und Privatkliniken) sowie andere Einrichtungen der Gesundheitsfürsorge

5. Gesundheitswesen: Einrichtungen der medizinischen Versorgung (einschließlich Krankenhäusern und Privatkliniken) sowie andere Einrichtungen der Gesundheitsfürsorge

 

6. IKT: Cloud-Computing-Dienste, die von einem Betreiber genutzt werden, um die in den Nummern 1 bis 5 genannten Dienste anzubieten

 

Diese Liste wird alle zwei Jahre aktualisiert.

VERFAHREN

Titel

Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

Bezugsdokumente - Verfahrensnummer

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Federführender Ausschuss

       Datum der Bekanntgabe im Plenum

IMCO

15.4.2013

 

 

 

Stellungnahme von

       Datum der Bekanntgabe im Plenum

ITRE

15.4.2013

Assoziierte(r) Ausschuss/Ausschüsse - datum der bekanntgabe im plenum

12.9.2013

Verfasser(in) der Stellungnahme

       Datum der Benennung

Pilar del Castillo Vera

23.5.2013

Prüfung im Ausschuss

14.10.2013

4.11.2013

 

 

Datum der Annahme

16.12.2013

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

36

5

0

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Amelia Andersdotter, Josefa Andrés Barea, Bendt Bendtsen, Fabrizio Bertot, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Romana Jordan, Philippe Lamberts, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Teresa Riera Madurell, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Evžen Tošenovský, Claude Turmes, Marita Ulvskog, Vladimir Urutchev

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter(innen)

Daniel Caspary, António Fernando Correia de Campos, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Eija-Riitta Korhola, Holger Krahmer, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Lambert van Nistelrooij

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 187 Abs. 2)

María Auxiliadora Correa Zamora


STELLUNGNAHME des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (15.1.2014)

für den Ausschuss für Binnenmarkt und Verbraucherschutz

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Verfasser der Stellungnahme: Carl Schlyter

KURZE BEGRÜNDUNG

Mit dem Vorschlag wird eine hohe gemeinsame Netz- und Informationssicherheit in der EU angestrebt. Der Verfasser der Stellungnahme unterstützt die Ziele des Vorschlags und schlägt Änderungen vor, durch die die Rechtssicherheit sowie die Sicherheit und der Schutz von Einzelpersonen und deren Privatsphäre verbessert werden, um zum einen dafür zu sorgen, dass der Einzelne seine personenbezogenen Daten unter Kontrolle hat und dass dem digitalen Umfeld vertraut wird, und um zum anderen eine Kultur des Risikomanagements und des besseren Informationsaustauschs zwischen privaten und öffentlichen Akteuren zu begründen.

Die vorgeschlagenen Änderungen zielen darauf ab, stärker auf das Datenschutzrecht Bezug zu nehmen, klarzustellen, dass soziale Netze und Application Stores nicht als „kritische Infrastrukturen“ gelten sollten (vgl. die geänderte Liste im Anhang II), und dafür zu sorgen, dass die Verhältnismäßigkeit gewahrt bleibt, indem die zivilen Aspekte des Unterfangens betont werden: Störungen und Systemausfälle sind in der Regel nicht die Folge gezielter Cyberangriffe von Terroristen, Kriminellen oder ausländischen Spionen, sondern sie geschehen unbeabsichtigt, aufgrund menschlichen Versagens und natürlicher Ursachen. Es ist von grundlegender Bedeutung, dass die EU einen Trennstrich zwischen der Umsetzung der vorgeschlagenen Rechtsvorschriften und einer Militarisierung des Themas zieht, indem sie nicht auf die Ziele der Sicherheits- und Überwachungsbranche eingeht, sondern die Zusammenhänge auf dem globalisierten digitalen Markt berücksichtigt.

Ein erhebliches Problem liegt weiterhin darin, wie sich die vorgeschlagene Regelung zu dem in der Datenschutz-Grundverordnung vorgesehenen Mitteilungssystem verhält und wie beide wirksam nebeneinander bestehen können, und dies ist einer der Gründe, weshalb hier betont wird, dass EU-Rechtsvorschriften zur Sicherheit im Internet nicht vor, sondern erst nach der Annahme der Datenschutz-Grundverordnung angenommen werden sollten. Außerdem sollten die tatsächlichen finanziellen und verwaltungstechnischen Auswirkungen berücksichtigt werden, was die gesamtgesellschaftlichen Kosten einschließt, nicht nur die Kosten von Mitteilungen. Software-Anbieter, die nachlässig programmieren und so Geld sparen, während sie ihre Kunden gefährden, dürfen nicht in allen Fällen durch die Standardformulierung in den Nutzungsbedingungen geschützt werden, der zufolge sie nicht für Softwarefehler haftbar sind. Sie benötigen Anreize, um für angemessene Sicherheit zu sorgen. Schließlich sollten die Schlüsselbegriffe bestimmt werden, um nicht von den Mitgliedstaaten unterschiedlich ausgelegt werden zu können (dies betrifft z. B. die Bedeutung von „öffentliche Verwaltungen“ und „beträchtliche Auswirkungen“ sowie eine konkrete Definition von „Cyberkriminalität“).

ÄNDERUNGSANTRÄGE

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres ersucht den federführenden Ausschuss für Binnenmarkt und Verbraucherschutz, folgende Änderungsanträge in seinen Bericht zu übernehmen:

Änderungsantrag  1

Vorschlag für eine Richtlinie

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Wirtschaft und das Gemeinwohl, die Kommunikation und den Austausch zwischen Personen, Organisationen der Zivilgesellschaft und Unternehmen sowie für den Schutz und die Achtung der Privatsphäre und personenbezogener Daten ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

Änderungsantrag  2

Vorschlag für eine Richtlinie

Erwägung 2

Vorschlag der Kommission

Geänderter Text

(2) Die Tragweite und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zufügen.

(2) Die Tragweite und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zufügen. Es setzt sich immer mehr die Erkenntnis durch, dass Kontrollsysteme anfällig für Cyberangriffe von zahlreichen Seiten sind, z. B. seitens feindlich gesinnter Staaten, terroristischer Gruppierungen und anderer böswilliger Eindringlinge. Durchdachte und koordinierte Angriffe könnten sich schwerwiegend auf die Stabilität, die Leistung und die wirtschaftlichen Aspekte der Infrastruktur auswirken.

Änderungsantrag  3

Vorschlag für eine Richtlinie

Erwägung 3

Vorschlag der Kommission

Geänderter Text

(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts.

(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts und für die Kommunikation und den Austausch zwischen Personen, Organisationen der Zivilgesellschaft und Unternehmen.

Änderungsantrag  4

Vorschlag für eine Richtlinie

Erwägung 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(3a) Da Systemausfällen nach wie vor in der Regel keine Absicht zugrunde liegt und sie beispielsweise auf natürliche Ursachen oder menschliches Versagen zurückzuführen sind, sollte die Infrastruktur sowohl vorsätzlichen als auch unbeabsichtigten Störungen standhalten, und die Betreiber kritischer Infrastrukturen sollten robuste Systeme gestalten, die auch dann noch betriebsfähig sind, wenn andere Systeme, auf die sie keinen Einfluss haben, ausfallen.

Änderungsantrag  5

Vorschlag für eine Richtlinie

Erwägung 6 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(6a) Es muss unbedingt erkannt werden, dass die aufwendigen Systeme, die uns unterstützen, an sich unsicher sind. Dazu ist es erforderlich, dass diejenigen, die eine Organisation schützen, und diejenigen, die ihre strategische Richtung vorgeben, ein besseres gemeinsames Verständnis der kritischen Aspekte entwickeln.

Änderungsantrag  6

Vorschlag für eine Richtlinie

Erwägung 8

Vorschlag der Kommission

Geänderter Text

(8) Die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, bleibt von den Bestimmungen dieser Richtlinie unberührt. Nach Artikel 346 AEUV ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seines Erachtens seinen wesentlichen Sicherheitsinteressen widerspricht.

(8) Die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, bleibt von den Bestimmungen dieser Richtlinie unberührt, sofern sie dies nicht als Vorwand nutzen, ihren allgemeineren Verpflichtungen hinsichtlich der Achtung des Schutzes der Privatsphäre und personenbezogener Daten nicht nachzukommen. Nach Artikel 346 AEUV ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seines Erachtens seinen wesentlichen Sicherheitsinteressen widerspricht.

Änderungsantrag  7

Vorschlag für eine Richtlinie

Erwägung 9

Vorschlag der Kommission

Geänderter Text

(9) Um eine hohe gemeinsame Netz- und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht.

(9) Um eine hohe gemeinsame Netz- und Informationssicherheit zu erreichen und aufrechtzuerhalten sollte jeder Mitgliedstaat über eine nationale NIS-Strategie verfügen, in der die strategischen Ziele sowie konkrete politische Maßnahmen vorgesehen sind. Auf nationaler Ebene müssen NIS-Kooperationspläne aufgestellt werden, die gewisse Grundanforderungen erfüllen, so dass ein Kapazitätsniveau erreicht werden kann, das bei Sicherheitsvorfällen eine wirksame und effiziente Zusammenarbeit auf nationaler und auf Unionsebene ermöglicht, wobei die Privatsphäre und personenbezogene Daten geachtet und geschützt werden.

Änderungsantrag  8

Vorschlag für eine Richtlinie

Erwägung 10

Vorschlag der Kommission

Geänderter Text

(10) Zur effektiven Umsetzung der Bestimmungen dieser Richtlinie sollte in jedem Mitgliedstaat eine für die Koordinierung in Sachen NIS zuständige Stelle geschaffen oder auf Unionsebene benannt werden, die für die Zwecke der grenzübergreifenden Zusammenarbeit als Anlaufstelle dient. Diese Stellen sollten mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sein, um die ihnen übertragenen Aufgaben wirksam und effizient erfüllen und somit die Ziele dieser Richtlinie erreichen zu können.

(10) Zur effektiven Umsetzung der Bestimmungen dieser Richtlinie sollte in jedem Mitgliedstaat eine für die Koordinierung in Sachen NIS zuständige, unter ziviler Aufsicht stehende, umfassend demokratisch kontrollierte und transparent funktionierende nationale Behörde geschaffen oder auf Unionsebene benannt werden, die für die Zwecke der grenzübergreifenden Zusammenarbeit als Anlaufstelle dient. Diese Stellen sollten mit angemessenen technischen, finanziellen und personellen Ressourcen ausgestattet sein, um die ihnen übertragenen Aufgaben wirksam und effizient erfüllen und somit die Ziele dieser Richtlinie erreichen zu können.

Änderungsantrag  9

Vorschlag für eine Richtlinie

Erwägung 14 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(14a) Es gibt noch mehr Branchen, die in ihren Rechnerbereichen auf Cloud-Dienste zurückgreifen, etwa IT-Dienstleister, die kritische Infrastrukturen betreiben. Durch hinreichende Sicherheitsmaßnahmen muss für die Vertraulichkeit, Integrität und Verfügbarkeit der Cloud-Daten gesorgt werden. Das Hosting von Infrastrukturdiensten und die Speicherung sensibler Daten in der Cloud-Umgebung bringen Anforderungen an Sicherheit und Widerstandsfähigkeit mit sich, für deren Bewältigung die bestehenden Cloud-Dienste nicht gut geeignet sind. Daher muss sichergestellt werden, dass sich sensible Daten kritischer Infrastrukturen im Cloud-Computing-Bereich angemessen schützen lassen

Änderungsantrag  10

Vorschlag für eine Richtlinie

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und Informationen und bewährte Verfahren austauschen und im Gegenzug operative Unterstützung im Falle von Sicherheitsvorfällen erhalten.

(15) Da die meisten Netze und Informationssysteme privat betrieben werden, ist die Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor von zentraler Bedeutung. Die Marktteilnehmer sollten angehalten werden, sich eines eigenen informellen Kooperationsmechanismus zur Gewährleistung der NIS zu bedienen. Sie sollten ferner mit dem öffentlichen Sektor zusammenarbeiten und miteinander Informationen und bewährte Verfahren austauschen sowie einander die erforderliche operative Unterstützung im Falle von Sicherheitsvorfällen leisten.

Änderungsantrag  11

Vorschlag für eine Richtlinie

Erwägung 15 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(15a) Bereits bestehende einzelstaatliche Mechanismen für die Zusammenarbeit öffentlicher und privater Betreiber sollten nach Möglichkeit uneingeschränkt geachtet werden und im Einklang mit der Richtlinie 95/46/EG stehen, und etablierte Kooperationsvereinbarungen dieser Art sollten durch die Bestimmungen dieser Richtlinie nicht beeinträchtigt werden.

Änderungsantrag  12

Vorschlag für eine Richtlinie

Erwägung 16

Vorschlag der Kommission

Geänderter Text

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zuständigen Behörden eine gemeinsame Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken einrichten.

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zuständigen Behörden eine gemeinsame Website zur zeitnahen und umfassenden Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken einrichten.

Änderungsantrag  13

Vorschlag für eine Richtlinie

Erwägung 21

Vorschlag der Kommission

Geänderter Text

(21) Angesichts des globalen Charakters von NIS-Problemen bedarf es einer engeren internationalen Zusammenarbeit, damit die Sicherheitsstandards und der Informationsaustausch verbessert werden können und ein gemeinsames globales Konzept für NIS-Fragen gefördert werden kann.

(21) Angesichts des globalen Charakters von NIS-Problemen bedarf es einer engeren internationalen Zusammenarbeit, damit die Sicherheitsstandards und der Informationsaustausch verbessert werden können und ein gemeinsames globales Konzept für NIS-Fragen gefördert werden kann, wobei vorausgesetzt wird, dass die Staaten, mit denen eine solche Zusammenarbeit beabsichtigt wird, über Kontroll- und Datenschutzinstrumente verfügen, die den Instrumenten der EU in puncto Sicherheit ebenbürtig sind.

Änderungsantrag  14

Vorschlag für eine Richtlinie

Erwägung 22

Vorschlag der Kommission

Geänderter Text

(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und den Marktteilnehmern. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollte eine Risikomanagementkultur gefördert und entwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollte, die den jeweiligen Risiken angemessen sind. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist.

(22) Die Verantwortung für die Gewährleistung der NIS liegt in erheblichem Maße bei den öffentlichen Verwaltungen und den Unternehmen. Durch geeignete Vorschriften und freiwillige Branchenpraxis sollte eine Risikomanagementkultur gefördert und entwickelt werden, die u. a. die Risikobewertung und die Anwendung von Sicherheitsmaßnahmen umfassen sollte, die auf die Abwendung sowohl vorsätzlicher als auch unbeabsichtigter Sicherheitsvorfälle abzielen. Besteht eine solche Kultur des Risikomanagements bereits, sollte sie insbesondere dort, wo sie auf freiwilliger Praxis beruht, unterstützt, gestärkt und verbreitet werden. Ferner ist es für ein ordnungsgemäßes Funktionieren des Kooperationsnetzes von großer Bedeutung, gleiche Ausgangsbedingungen zu schaffen, damit eine wirksame Zusammenarbeit aller Mitgliedstaaten sichergestellt ist.

Änderungsantrag  15

Vorschlag für eine Richtlinie

Erwägung 22 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(22a) Öffentliche Verwaltungen und Privatunternehmen, z. B. Anbieter von Netz- und Informationsdiensten und Software-Anbieter, sollten den Schutz ihrer Informationssysteme und der dazugehörigen Daten als einen Teil ihrer Sorgfaltspflicht auffassen. Es sollte für einen angemessenen Grad an Schutz vor Bedrohungen und Schwachstellen gesorgt werden, die ohne übermäßigen Aufwand erkennbar sind. Die Kosten und Lasten eines solchen Schutzes sollten dem möglichen Schaden Rechnung tragen, den die Betroffenen bei einem Cyberangriff davontragen.

Änderungsantrag  16

Vorschlag für eine Richtlinie

Erwägung 26 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(26a) Kinder kommen von ihren ersten Lebensjahren an mit dem Internet und anderen modernen Technologien in Berührung, sind aber auch den damit einhergehenden Gefahren ausgesetzt. Ein ordnungsgemäß geführter kinderfreundlicher Online-Raum ist von grundlegender Bedeutung, um die Schäden zu mindern und dafür zu sorgen, dass der Schutz der Kinder und ihrer Rechte nicht beeinträchtigt wird.

Änderungsantrag  17

Vorschlag für eine Richtlinie

Erwägung 28

Vorschlag der Kommission

Geänderter Text

(28) Die zuständigen Behörden sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, sorgfältig gegen einen möglichen wirtschaftlichen Schaden bzw. einen Imageschaden abgewogen werden, der den öffentlichen Verwaltungen bzw. den Marktteilnehmern, die solche Vorfälle melden, entstehen kann. Bei der Erfüllung der Meldepflichten sollten die zuständigen Behörden besonders darauf achten, dass Informationen über die Anfälligkeit von Produkten bis zur Veröffentlichung der entsprechenden Sicherheitsfixes streng vertraulich bleiben.

(28) Die zuständigen Behörden sollten dafür Sorge tragen, dass informelle, vertrauenswürdige Kanäle für den Informationsaustausch zwischen Marktteilnehmern sowie zwischen dem öffentlichen und dem privaten Sektor erhalten bleiben. Bei der Bekanntmachung von Sicherheitsvorfällen, die den zuständigen Behörden gemeldet werden, sollte das Interesse der Öffentlichkeit, über Bedrohungen informiert zu werden, Vorrang vor kurzfristigen wirtschaftlichen Überlegungen haben.

Änderungsantrag  18

Vorschlag für eine Richtlinie

Erwägung 29 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(29a) Die betrügerische Nutzung des Internets ermöglicht es der organisierten Kriminalität, ihre Tätigkeiten online auszuweiten, um Geldwäsche zu betreiben, Banknoten zu fälschen und mit anderen Waren und Dienstleistungen zu handeln, die geistige Eigentumsrechte verletzen, sowie neue Formen krimineller Tätigkeiten zu erproben, wobei sie eine besorgniserregende Anpassungsfähigkeit an moderne Technologien an den Tag legt.

Änderungsantrag  19

Vorschlag für eine Richtlinie

Erwägung 30 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(30a) Die Cyberkriminalität verursacht immer größeren wirtschaftlichen und gesellschaftlichen Schaden, der Millionen von Verbrauchern betrifft und auf 290 Mrd. Euro geschätzt wird4a.

 

__________________

 

4a Angabe gemäß dem Norton-Bericht über Cyberkriminalität 2012.

Änderungsantrag  20

Vorschlag für eine Richtlinie

Erwägung 33

Vorschlag der Kommission

Geänderter Text

(33) Die Kommission sollte diese Richtlinie regelmäßig überprüfen, insbesondere um festzustellen, ob sie veränderten technischen oder Marktbedingungen anzupassen ist.

(33) Die Kommission sollte diese Richtlinie regelmäßig überprüfen, insbesondere um festzustellen, ob sie veränderten technischen oder Marktbedingungen und Verpflichtungen, die auf ein Höchstmaß an Sicherheit und Unversehrtheit von Netzen und Informationen sowie auf größtmöglichen Schutz der Privatsphäre und personenbezogener Daten abzielen, anzupassen ist.

Änderungsantrag  21

Vorschlag für eine Richtlinie

Erwägung 39

Vorschlag der Kommission

Geänderter Text

(39) Der Austausch von Informationen über Sicherheitsrisiken und -vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden kann die Verarbeitung personenbezogener Daten erfordern. Diese Verarbeitung personenbezogener Daten ist notwendig, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, und somit nach Artikel 7 der Richtlinie 95/46/EG zulässig. Im Hinblick auf diesen legitimen Zweck ist sie weder unverhältnismäßig noch handelt es sich um einen nicht tragbaren Eingriff, der das in Artikel 8 der Charta der Grundrechte verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt antastet. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission31 entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr erfolgen.

(39) Der Austausch von Informationen über Sicherheitsrisiken und -vorfälle über das Kooperationsnetz und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvorfällen bei den zuständigen nationalen Behörden kann die Verarbeitung personenbezogener Daten erfordern. Sofern diese Verarbeitung personenbezogener Daten notwendig ist, um die mit dieser Richtlinie verfolgten Ziele des öffentlichen Interesses zu erreichen, kann sie nach Artikel 7 der Richtlinie 95/46/EG zulässig sein. Dies entbindet die zuständigen Behörden jedoch nicht davon, bei einem Eingriff angemessen vorzugehen, ohne das in Artikel 8 der Charta der Grundrechte verbriefte Recht auf den Schutz personenbezogener Daten in ihrem Wesensgehalt anzutasten. Bei der Anwendung dieser Richtlinie sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission31 entsprechend gelten. Die Datenverarbeitung durch die Organe und Einrichtungen der Union für die Zwecke dieser Richtlinie sollte nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr erfolgen.

__________________

__________________

31 ABl. L 145 vom 31.5.2001, S. 43.

31 ABl. L 145 vom 31.5.2001, S. 43.

Änderungsantrag  22

Vorschlag für eine Richtlinie

Erwägung 41 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(41a) Bei allen Maßnahmen muss ein angemessener Schutz der grundlegenden Menschenrechte, insbesondere der in der Europäischen Menschenrechtskonvention (Artikel 8, Privatsphäre) genannten Rechte, sichergestellt und die Einhaltung des Grundsatzes der Verhältnismäßigkeit gewährleistet sein.

Änderungsantrag  23

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bleiben von dieser Richtlinie ebenfalls unberührt.

5) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr werden von dieser Richtlinie in vollem Umfang gewahrt.

Änderungsantrag  24

Vorschlag für eine Richtlinie

Artikel 2

Vorschlag der Kommission

Geänderter Text

Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten.

Unbeschadet ihrer Verpflichtungen nach dem Unionsrecht werden die Mitgliedstaaten nicht daran gehindert, Bestimmungen zur Gewährleistung eines höheren Sicherheitsniveaus zu erlassen oder aufrechtzuerhalten, die jedoch den in diesem Fall geltenden gemeinsamen Mindesterwartungen entsprechen müssen, die in dieser Richtlinie festgelegt sind.

Änderungsantrag  25

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 2

Vorschlag der Kommission

Geänderter Text

2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind;

2) „Sicherheit“ die Fähigkeit von Netzen und Informationssystemen, Störungen und böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender Dienste beeinträchtigen, die über dieses Netz und Informationssystem angeboten werden beziehungsweise zugänglich sind;

Änderungsantrag  26

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 2 – Buchstabe a (neu)

Vorschlag der Kommission

Geänderter Text

 

a) „Widerstandsfähigkeit gegenüber Cyberangriffen“ die Fähigkeit von Netzen und Informationssystemen, Vorfällen standzuhalten, zu denen unter anderem technische Störungen, Stromausfälle oder Sicherheitsvorfälle zählen, und anschließend wieder uneingeschränkt funktionsfähig zu sein;

Änderungsantrag  27

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 4

Vorschlag der Kommission

Geänderter Text

„Sicherheitsvorfälle“ alle Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit haben;

„Sicherheitsvorfälle“ alle Umstände oder Ereignisse, die tatsächlich negative Auswirkungen auf die Sicherheit und die Erbringung der Kerndienstleistungen haben;

Änderungsantrag  28

Vorschlag für eine Richtlinie

Artikel 3 – Nummer 8 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

b) Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler gesellschaftlicher und wirtschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen, Lebensmittelversorgungskette und Gesundheit unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

Änderungsantrag  29

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) einen Risikobewertungsplan zur Bestimmung der Risiken und zur Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle;

a) einen Rahmen für das Risikomanagement, der mindestens eine regelmäßige Risikobewertung zur Bestimmung der Risiken und zur Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle sowie Maßnahmen zur Gewährleistung von Schutz und Unversehrtheit sowie Informationsmaßnahmen umfasst, beispielsweise Frühwarnungen;

Begründung

Ein Risikobewertungsplan reicht nicht aus, da er keine weiteren Maßnahmen enthält, die für das Management von Netz- und Informationssicherheitsrisiken erforderlich sind. Der Europäische Datenschutzbeauftragte empfiehlt die Schaffung eines Rahmens für das Risikomanagement, der eine Risikobewertung umfasst.

Änderungsantrag  30

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die nationale NIS-Strategie und der nationale NIS-Kooperationsplan werden der Kommission innerhalb eines Monats nach ihrer Annahme mitgeteilt.

3) Die nationale NIS-Strategie und der nationale NIS-Kooperationsplan werden der Kommission, dem Europäischen Parlament, dem Rat und dem europäischen Datenschutzbeauftragten innerhalb eines Monats nach ihrer Annahme und spätestens zwölf Monate nach Inkrafttreten dieser Richtlinie mitgeteilt.

Änderungsantrag  31

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a) Die Kommission sammelt die nationalen NIS-Strategien aller Mitgliedstaaten und leitet sie in geordneter Form an alle Mitgliedstaaten weiter.

Begründung

Es ist hilfreich, wenn die Mitgliedstaaten auch die Pläne der anderen Mitgliedstaaten kennen. Das hilft ihnen bei der Orientierung und kann sogar eine Gelegenheit zum Austausch bewährter Verfahren sein.

Änderungsantrag  32

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 3 b (neu)

Vorschlag der Kommission

Geänderter Text

 

3b) Die Kommission stellt spätestens 6 Monate nach Annahme dieser Richtlinie einen normativen Leitfaden zur Struktur der NIS-Strategie zusammen. Damit sollen die Mitgliedstaaten dabei unterstützt werden, Dokumente mit ungefähr der gleichen Struktur auszuarbeiten und anzunehmen.

Begründung

Die Organisation und Zusammenfassung von 28 solcher Dokumente lässt sich auf Gemeinschaftsebene leichter bewerkstelligen, wenn diese einer bestimmten Ordnung folgen. Auch wenn das normative Dokument der Kommission keinen verpflichtenden Charakter hätte, würde damit doch erreicht, dass die Mitgliedstaaten sich bei der Ausarbeitung ihrer nationalen Strategien an das empfohlene Modell bzw. die empfohlene Struktur halten.

Änderungsantrag  33

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Behörde (im Folgenden „zuständige Behörde“).

1) Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Zivilbehörde (im Folgenden „zuständige Behörde“).

Änderungsantrag  34

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Die zuständigen Behörden konsultieren gegebenenfalls die einschlägigen nationalen Strafverfolgungs- und Datenschutzbehörden, und arbeiten mit ihnen zusammen.

5) Soweit erforderlich und unter Beachtung des Grundsatzes der Verhältnismäßigkeit konsultieren die zuständigen Behörden die zuständigen nationalen Strafverfolgungs- und Datenschutzbehörden und arbeiten eng mit ihnen zusammen.

Änderungsantrag  35

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 5 (neu)

Vorschlag der Kommission

Geänderter Text

 

5a) Die zuständigen Behörden halten hinsichtlich der Erhebung, der Verarbeitung und des Austauschs von Daten die Vorschriften über den Schutz der personenbezogenen Daten nach Artikel 17 der Richtlinie 95/46/EG ein.

Änderungsantrag  36

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Jeder Mitgliedstaat richtet ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

1) Jeder Mitgliedstaat richtet IT-Notfallteams (Computer Emergency Response Team, im Folgenden „CERT“) ein, die für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig sind und die Voraussetzungen von Anhang I Nummer 1 erfüllen. Ein CERT wird gegebenenfalls innerhalb einer zuständigen Behörde eingerichtet.

Änderungsantrag  37

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2) Die Kommission und die zuständigen Behörden stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage kann die Europäische Agentur für Netz- und Informationssicherheit (ENISA) das Kooperationsnetz mit Know-how und Beratung unterstützen.

2) Die Kommission und die zuständigen Behörden stehen über das Kooperationsnetz in ständigem Kontakt. Auf Anfrage unterstützt die Europäische Agentur für Netz- und Informationssicherheit (ENISA) das Kooperationsnetz, indem sie technologieneutrale Leitfäden mit Maßnahmen bereitstellt, die für den öffentlichen und den privaten Sektor gleichermaßen geeignet sind.

Änderungsantrag  38

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 2 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

ba) die Kriterien für die Teilnahme der Mitgliedstaaten am sicheren System für den Informationsaustausch, damit dafür gesorgt wird, dass die Teilnehmer in allen Verarbeitungsphasen ein hohes Maß an Sicherheit und Robustheit gewährleisten, beispielsweise durch Vertraulichkeits- und Sicherheitsmaßnahmen gemäß den Artikel 16 und 17 der Richtlinie 95/46/EG und den Artikeln 21 und 22 der Verordnung (EG) Nr. 45/2001.

Änderungsantrag  39

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die Kommission erlässt nach den in den Absätzen 2 und 3 genannten Kriterien mittels Durchführungsrechtsakten Beschlüsse über den Zugang der Mitgliedstaaten zu dieser sicheren Infrastruktur. Diese Durchführungsrechtsakte werden nach dem in Artikel 19 Absatz 3 genannten Prüfverfahren angenommen.

entfällt

Änderungsantrag  40

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 2 – Buchstabe a – Spiegelstrich 2

Vorschlag der Kommission

Geänderter Text

– die Festlegung der Verfahren und Kriterien zur Bewertung der Sicherheitsrisiken und ‑vorfälle durch das Kooperationsnetz.

– die Festlegung der Kriterien zur Bewertung der Sicherheitsrisiken und ‑vorfälle durch das Kooperationsnetz.

Änderungsantrag  41

Vorschlag für eine Richtlinie

Artikel 13

Vorschlag der Kommission

Geänderter Text

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. In solchen Vereinbarungen wird der Notwendigkeit eines angemessenen Schutzes der im Kooperationsnetz zirkulierenden personenbezogenen Daten Rechnung getragen.

Unbeschadet der Möglichkeiten des Kooperationsnetzes, auf internationaler Ebene informell zusammenzuarbeiten, kann die Union internationale Vereinbarungen mit Drittländern oder internationalen Organisationen schließen, in denen deren Beteiligung an bestimmten Aktivitäten des Kooperationsnetzes ermöglicht und geregelt wird. Solche Vereinbarungen werden nur geschlossen, wenn dafür gesorgt werden kann, dass die im Kooperationsnetz zirkulierenden personenbezogenen Daten auf einem angemessenen und dem Unionsniveau vergleichbaren Niveau geschützt werden.

Änderungsantrag  42

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen und Marktteilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Maß an Sicherheit gewährleisten, das angesichts des bestehenden Risikos angemessen ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihre Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wird.

1) Die Mitgliedstaaten stellen sicher, dass öffentliche Verwaltungen und Marktteilnehmer geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu ermitteln, zu bewältigen und einzugrenzen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Maß an Sicherheit gewährleisten, das angesichts des bestehenden Risikos angemessen und verhältnismäßig ist. Insbesondere müssen Maßnahmen ergriffen werden, um Folgen von Sicherheitsvorfällen, die ihre Netze und Informationssysteme betreffen, auf die von ihnen bereitgestellten Kerndienste zu verhindern beziehungsweise so gering wie möglich zu halten, damit die Kontinuität der Dienste sowie die Datensicherheit, die auf diesen Netzen und Informationssystemen beruhen, gewährleistet wird.

Änderungsantrag  43

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2 – Buchstabe a (neu)

 

Geänderter Text

 

a) Falls sie hinsichtlich Sicherheit und Schutz grob fahrlässig handeln, werden kommerzielle Software-Anbieter trotz Haftungsausschlussklauseln in Endnutzer-Lizenzvereinbarungen haftbar gemacht.

Begründung

In Endbenutzer-Lizenzvereinbarungen weisen kommerzielle Software-Anbieter jegliche Haftung aufgrund mangelhafter Sicherheitsvorkehrungen oder minderwertiger Programmierung von sich. Um Software-Anbieter zu Investitionen in Sicherheitsmaßnahmen zu bewegen, bedarf es einer neuen Kultur. Dies lässt sich nur bewerkstelligen, wenn sie für sämtliche Sicherheitsmängel haftbar gemacht werden.

Änderungsantrag  44

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3) Die Anforderungen der Absätze 1 und 2 gelten für alle Marktteilnehmer, die Dienste in der Europäischen Union bereitstellen.

3) Die Anforderungen der Absätze 1 und 2 gelten für alle Marktteilnehmer und Software-Anbieter, die Dienste in der Europäischen Union bereitstellen.

Änderungsantrag  45

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6) Vorbehaltlich etwaiger nach Absatz 5 erlassener delegierter Rechtsakte können die zuständigen Behörden Leitlinien annehmen und erforderlichenfalls Anweisungen zu den Umständen herausgeben, in denen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt.

entfällt

Änderungsantrag  46

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1) Die Mitgliedstaaten gewährleisten, dass den zuständigen Behörden alle Befugnisse eingeräumt werden, die für die Untersuchung von Verstößen der öffentlichen Verwaltungen oder der Marktteilnehmer gegen die Verpflichtungen des Artikels 14 sowie deren Auswirkungen auf die Netz- und Informationssicherheit erforderlich sind.

1) Die Mitgliedstaaten gewährleisten, dass den zuständigen Behörden die Befugnisse eingeräumt werden, die für die Untersuchung von Verstößen der öffentlichen Verwaltungen oder der Marktteilnehmer gegen die Verpflichtungen des Artikels 14 sowie deren Auswirkungen auf die Netz- und Informationssicherheit erforderlich sind.

Änderungsantrag  47

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5) Bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, arbeiten die zuständigen Behörden eng mit den Datenschutzbehörden zusammen.

5) Unbeschadet des anwendbaren Datenschutzrechts und nach umfassender Absprache mit den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern arbeiten bei der Bearbeitung von Sicherheitsvorfällen, die zu Verletzungen des Schutzes personenbezogener Daten führen, die zuständigen Behörden und die zentralen Anlaufstellen eng mit den Datenschutzbehörden zusammen.

Änderungsantrag  48

Vorschlag für eine Richtlinie

Artikel 19 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 19a

 

Schutz und Verarbeitung personenbezogener Daten

 

1. Die Verarbeitung personenbezogener Daten in den Mitgliedstaaten gemäß dieser Richtlinie erfolgt im Einklang mit den Richtlinien 95/46/EG und 2002/58/EG.

 

2. Die Verarbeitung personenbezogener Daten durch die Kommission und die ENISA gemäß dieser Richtlinie erfolgt im Einklang mit der Verordnung (EG) Nr. 45/2001.

 

3. Die Verarbeitung personenbezogener Daten durch das bei Europol angesiedelte Europäische Zentrum zur Bekämpfung der Cyberkriminalität im Sinne dieser Richtlinie erfolgt gemäß dem Beschluss 2009/371/JI.

 

4. Die Verarbeitung personenbezogener Daten erfolgt nach Treu und Glauben und auf rechtmäßige Weise und wird auf das für die Zwecke der Datenverarbeitung unbedingt erforderliche Mindestmaß beschränkt. Die personenbezogenen Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nicht länger ermöglicht, als dies für die Realisierung des Verarbeitungszwecks erforderlich ist.

 

5. Die Meldung von Sicherheitsvorfällen gemäß Artikel 14 lässt die Bestimmungen zur Meldepflicht von Verstößen gegen den Schutz personenbezogener Daten nach Artikel 4 der Richtlinie 2002/58/EG und der Verordnung (EU) Nr. 611/2013 unberührt.

 

6. Alle Bezugnahmen auf die Richtlinie 95/46/EG gelten als Bezugnahmen auf die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), sobald diese in Kraft getreten ist.

Änderungsantrag  49

Vorschlag für eine Richtlinie

Artikel 20 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Die Kommission überprüft das Funktionieren dieser Richtlinie regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens drei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Die Kommission überprüft das Funktionieren dieser Richtlinie regelmäßig und erstattet dem Europäischen Parlament und dem Rat darüber Bericht. Der erste Bericht wird spätestens zwei Jahre nach dem Datum der Umsetzung nach Artikel 21 vorgelegt. Für diese Zwecke kann die Kommission die Mitgliedstaaten ersuchen, ihr unverzüglich Auskünfte zu erteilen.

Änderungsantrag  50

Vorschlag für eine Richtlinie

Anhang 1 – Absatz 1 – Nummer 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Das CERT ergreift und verwaltet Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der eingehenden und von ihm behandelten Informationen zu gewährleisten.

b) Das CERT ergreift und verwaltet Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der eingehenden und von ihm behandelten Informationen sowie den Datenschutz zu gewährleisten.

Änderungsantrag  51

Vorschlag für eine Richtlinie

Anhang 2 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Liste der Marktteilnehmer

Liste der Marktteilnehmer

nach Artikel 3 Absatz 8 Buchstabe a

nach Artikel 3 Absatz 8 Buchstabe a

1. Plattformen des elektronischen Geschäftsverkehrs

1. Plattformen des elektronischen Geschäftsverkehrs

2. Internet-Zahlungs-Gateways

2. Internet-Zahlungs-Gateways

3. Soziale Netze

 

4. Suchmaschinen

3. Suchmaschinen

5. Cloud-Computing-Dienste

4. Cloud-Computing-Dienste, die Daten kritischer Infrastrukturen der Europäischen Union speichern

6. Application Stores

 

Änderungsantrag  52

Vorschlag für eine Richtlinie

Anhang 2 – Absatz 2 – Nummer 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

5a. Lebensmittelversorgungskette

VERFAHREN

Titel

Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

Bezugsdokumente - Verfahrensnummer

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Federführender Ausschuss

       Datum der Bekanntgabe im Plenum

IMCO

15.4.2013

 

 

 

Stellungnahme von

       Datum der Bekanntgabe im Plenum

LIBE

15.4.2013

Assoziierte(r) Ausschuss/Ausschüsse - Datum der Bekanntgabe im Plenum

12.9.2013

Verfasser(in) der Stellungnahme

       Datum der Benennung

Carl Schlyter

7.3.2013

Prüfung im Ausschuss

25.4.2013

18.9.2013

4.11.2013

13.1.2014

Datum der Annahme

13.1.2014

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

36

6

0

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Arkadiusz Tomasz Bratkowski, Philip Claeys, Frank Engel, Cornelia Ernst, Tanja Fajon, Monika Flašíková Beňová, Kinga Gál, Kinga Göncz, Salvatore Iacolino, Sophia in ‘t Veld, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Claude Moraes, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Renate Sommer, Axel Voss, Renate Weber, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter(innen)

Monika Hohlmeier, Jean Lambert, Ulrike Lunacek, Jan Mulder, Carl Schlyter, Marco Scurria

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 187 Abs. 2)

Katarína Neveďalová


STELLUNGNAHME des Ausschusses für auswärtige Angelegenheiten (6.12.2013)

für den Ausschuss für Binnenmarkt und Verbraucherschutz

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))

Verfasserin der Stellungnahme: Ana Gomes

ÄNDERUNGSANTRÄGE

Der Ausschuss für auswärtige Angelegenheiten ersucht den federführenden Ausschuss für Binnenmarkt und Verbraucherschutz, folgende Änderungsanträge in seinen Bericht zu übernehmen:

Änderungsantrag  1

Vorschlag für eine Richtlinie

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

(1) Netze und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für die Wirtschaft und das Gemeinwohl und insbesondere für das Funktionieren des Binnenmarkts wie auch für die äußere Sicherheit der EU ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind.

Änderungsantrag  2

Vorschlag für eine Richtlinie

Erwägung 2

Vorschlag der Kommission

Geänderter Text

(2) Die Tragweite und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Solche Sicherheitsvorfälle können die Ausübung wirtschaftlicher Tätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zufügen.

(2) Die Tragweite und Häufigkeit vorsätzlicher wie unbeabsichtigter Sicherheitsvorfälle nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netzen und Informationssystemen dar. Solche Sicherheitsvorfälle können die Ausübung von Wirtschaftstätigkeiten beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft der Union großen Schaden zufügen und letztendlich das Wohlergehen der EU-Bürger sowie die Fähigkeit der EU-Mitgliedstaaten, sich selbst zu schützen und für den Schutz der kritischen Infrastruktur zu sorgen, gefährden.

Änderungsantrag  3

Vorschlag für eine Richtlinie

Erwägung 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(2a) Die mit Artikel 222 AEUV eingeführte Solidaritätsklausel ist der geeignete Rahmen für Unterstützungsmaßnahmen und gemeinsame Maßnahmen der EU-Mitgliedstaaten bei Terroranschlägen oder kriminellen Aktivitäten, durch die die Netz- und Informationssicherheit gefährdet wird. Gleichermaßen sollte die Klausel über gegenseitige Verteidigung (Artikel 42 Absatz 7 EUV) den Rahmen für Maßnahmen innerhalb der EU bilden, wenn ein bewaffneter Angriff auf einen Mitgliedstaat erfolgt und dabei die Netz- und Informationssicherheit beeinträchtigt wird. In einschlägigen Fällen sollten Artikel 222 AEUV und Artikel 42 Absatz 7 EUV einander ergänzend Anwendung finden.

Änderungsantrag  4

Vorschlag für eine Richtlinie

Erwägung 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(2a) Ursache zahlreicher Cybersicherheitsvorfälle sind die mangelnde Widerstandsfähigkeit und Belastbarkeit der privaten und öffentlichen Netzinfrastruktur, der mangelhafte Schutz und die unzureichende Sicherung von Datenbanken und andere Mängel der kritischen Informationsinfrastruktur. Nur wenige Mitgliedstaaten betrachten den Schutz ihrer Netze und Informationssysteme und der damit in Zusammenhang stehenden Daten als Teil ihrer Sorgfaltspflicht, wodurch sich erklärt, weshalb nicht in moderne Sicherheitstechnologie, Schulungen und die Ausarbeitung geeigneter Leitlinien investiert wird.

Änderungsantrag  5

Vorschlag für eine Richtlinie

Erwägung 3

Vorschlag der Kommission

Geänderter Text

(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts.

(3) Digitale Informationssysteme, allen voran das Internet, spielen als Kommunikationsmittel, das keine Landesgrenzen kennt, eine tragende Rolle bei der Erleichterung des grenzüberschreitenden Waren-, Dienstleistungs- und Personenverkehrs. Aufgrund dieses transnationalen Charakters kann eine schwere Störung solcher Systeme in einem Mitgliedstaat auch andere Mitgliedstaaten und die EU insgesamt in Mitleidenschaft ziehen. Robuste, stabile Netze und Informationssysteme sind daher unerlässlich für das reibungslose Funktionieren des Binnenmarkts und von wesentlicher Bedeutung für die innere und äußere Sicherheit der EU. In der EU-Strategie der inneren Sicherheit und der EU-Sicherheitsstrategie sollte deshalb gebührend herausgestellt werden, dass die Netz- und Informationssicherheit verbessert werden muss, insbesondere im Hinblick auf die künftige Überarbeitung dieser Dokumente.

Änderungsantrag  6

Vorschlag für eine Richtlinie

Erwägung 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(3a) Die Sensibilisierung und Schulung der Nutzer von Informations- und Kommunikationstechnologien für bewährte Verfahren bei der Sicherung personenbezogener Daten sowie der dauerhaften Aufrechterhaltung von Kommunikationsdiensten sollte die Grundlage jeder umfassenden Strategie für die Cybersicherheit bilden.

Änderungsantrag  7

Vorschlag für eine Richtlinie

Erwägung 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(4a) Die Zusammenarbeit und Abstimmung der einschlägigen EU-Stellen mit der HR/VP mit Zuständigkeit für die Gemeinsame Außen- und Sicherheitspolitik und die Gemeinsame Sicherheits- und Verteidigungspolitik sowie mit dem EU-Koordinator für die Terrorismusbekämpfung sollten in allen Fällen sichergestellt werden, in denen eine Gefährdungslage als äußere Gefährdung oder Terrorgefahr eingestuft werden könnte.

Änderungsantrag  8

Vorschlag für eine Richtlinie

Erwägung 4 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(4b) Die Weitergabe von geheimdienstlichen und sensiblen Informationen unter den Mitgliedstaaten und den einschlägigen zuständigen Stellen der EU sollte ausgebaut werden und auf den Grundsätzen des Vertrauens, der Solidarität und der Zusammenarbeit beruhen. In Aktionsplänen zur Verbesserung der Netz- und Informationssicherheit sollte deshalb in vollem Umfang auf bereits in der EU bestehende Strukturen wie das EU-Zentrum für Informationsgewinnung und ‑analyse zurückgegriffen und für die Koordinierung aller Strukturen gesorgt werden, die für die Informationssicherheit im Bereich der inneren und äußeren Sicherheit der EU von Bedeutung sind.

Änderungsantrag  9

Vorschlag für eine Richtlinie

Erwägung 4 c (neu)

Vorschlag der Kommission

Geänderter Text

 

(4c) Da eine länderübergreifende Bedrohungslage gegeben ist, sind die Zusammenarbeit und der Informationsaustausch auf weltweiter Ebene mit einschlägigen internationalen Partnern von wesentlicher Bedeutung für eine wirksame Netzsicherheitsstrategie und die sich daraus ergebenden Maßnahmen zur Verbesserung der Netz- und Informationssicherheit in der EU.

Änderungsantrag  10

Vorschlag für eine Richtlinie

Erwägung 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(8a) Im Rahmen von Sicherheitsmaßnahmen müssen sämtliche Grundrechte gewahrt werden, die gemäß den Artikeln 2, 6 und 21 AEUV in der EU und ihren Mitgliedstaaten gelten, so das Recht auf freie Meinungsäußerung, der Datenschutz und die Schutz der Privatsphäre. Das Recht auf Schutz der Privatsphäre und der Datenschutz sind in der Grundrechtecharta der EU und in Artikel 16 AEUV verankert.

Änderungsantrag  11

Vorschlag für eine Richtlinie

Erwägung 11 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(11a) Alle Mitgliedstaaten sollten sich in ihren nationalen Strategien für die Cybersicherheit auf den Schutz der Informationssysteme und der damit in Zusammenhang stehenden Daten konzentrieren und den Schutz dieser kritischen Infrastruktur als Teil ihrer Sorgfaltspflicht betrachten. Alle Mitgliedstaaten sollten Strategien, Leitlinien und Instrumente beschließen und umsetzen, die ein jeweils sinnvolles Schutzniveau gegen das jeweils mit vernünftigem Aufwand feststellbare Ausmaß einer Bedrohung gewährleisten, wobei die Kosten und Lasten des Schutzes und der wahrscheinliche Schaden für die Betroffenen in einem angemessenen Verhältnis zueinander stehen sollten. Außerdem sollten alle Mitgliedstaaten angemessene Schritte einleiten, um juristische Personen auf ihrem Hoheitsgebiet zu verpflichten, die ihnen anvertrauten personenbezogenen Daten zu schützen.

Änderungsantrag  12

Vorschlag für eine Richtlinie

Erwägung 16

Vorschlag der Kommission

Geänderter Text

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zuständigen Behörden eine gemeinsame Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken einrichten.

(16) Um Transparenz zu gewährleisten und die Bürger und Marktteilnehmer der EU angemessen zu informieren, sollten die zuständigen Behörden eine gemeinsame Website zur Veröffentlichung nichtvertraulicher Informationen über Sicherheitsvorfälle und -risiken einrichten. Die auf dieser Website veröffentlichten personenbezogenen Daten sollten auf das Notwendige beschränkt und so anonym wie möglich sein.

Änderungsantrag  13

Vorschlag für eine Richtlinie

Erwägung 30 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(30a) Diese Richtlinie sollte unbeschadet des Besitzstands der Union im Bereich Datenschutz gelten. Die im Sinne dieser Richtlinie genutzten personenbezogenen Daten sollten auf die absolut notwendige Mindestsammlung personenbezogener Daten beschränkt bleiben und ausschließlich an Akteure übermittelt werden, die diese Daten unbedingt benötigen, wobei diese Daten so anonym wie möglich, wenn nicht gar vollständig anonym sein sollten.

Änderungsantrag  14

Vorschlag für eine Richtlinie

Erwägung 32 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(32a) Durch diese Richtlinie (NIS‑Richtlinie) wird die notwendige Anpassung der allgemeinen EU-Rechtsvorschriften zum Datenschutz nicht beeinträchtigt.

Änderungsantrag  15

Vorschlag für eine Richtlinie

Erwägung 34 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(34a) Der Verkauf, die Lieferung, die Weitergabe oder die Ausfuhr von Hard- und Software, mit der in erster Linie die Kommunikation über das Internet und Telefongespräche in Mobilfunk- oder Festnetzen überwacht und abgehört werden sollen, sowie die Hilfeleistung bei Installation, Betrieb oder Aktualisierung solcher Hard- oder Software sollten auf EU-Ebene reguliert werden. Die Kommission sollte so rasch wie möglich Rechtsvorschriften ausarbeiten, mit denen verhindert wird, dass EU-Unternehmen derartige Güter mit doppeltem Verwendungszweck an undemokratische, autoritäre und repressive Regime ausführen.

Änderungsantrag  16

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter Weise mit Sicherheitsrisiken und ‑vorfällen, die Netze und Informationssysteme beeinträchtigen, umgegangen bzw. darauf reagiert werden kann;

b) die Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten zur Gewährleistung einer einheitlichen Anwendung dieser Richtlinie in der Union, damit erforderlichenfalls in koordinierter, effizienter und wirksamer Weise mit Sicherheitsrisiken und ‑vorfällen, die Netze und Informationssysteme beeinträchtigen, umgegangen bzw. darauf reagiert werden kann;

Änderungsantrag  17

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Vorrichtungen oder Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen sowie

b) Gruppen miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen sowie

Änderungsantrag  18

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

a) „Widerstandsfähigkeit gegenüber Cyberangriffen“ die Fähigkeit von Netzen und Informationssystemen, Vorfällen standzuhalten, zu denen unter anderem technische Störungen, Stromausfälle oder Sicherheitsvorfälle zählen, und anschließend wieder uneingeschränkt funktionsfähig zu sein;

Änderungsantrag  19

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 8 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen und Gesundheit unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

b) Betreiber kritischer Infrastrukturen, die für die Aufrechterhaltung zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten in den Bereichen Energie, Verkehr, Banken, Börsen, Gesundheit, Sicherheit und Verteidigung unerlässlich sind; Anhang II enthält eine nicht erschöpfende Liste dieser Betreiber;

Änderungsantrag  20

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 8 – Buchstabe b a (neu)

Vorschlag der Kommission

Geänderter Text

 

ba) Anbieter von Vorrichtungen, Netzen und Informationssystemen gemäß Nummer 1 oder von deren Komponenten, die für eine hohe gemeinsame Netz- und Informationssicherheit von entscheidender Bedeutung sind.

Änderungsantrag  21

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Behörde (im Folgenden „zuständige Behörde“).

1. Jeder Mitgliedstaat benennt eine für die Netz- und Informationssicherheit zuständige nationale Zivilbehörde (im Folgenden „zuständige Behörde“).

Änderungsantrag  22

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Jeder Mitgliedstaat richtet ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

1. Jeder Mitgliedstaat richtet mindestens ein IT-Notfallteam (Computer Emergency Response Team, im Folgenden „CERT“) ein, das für die Bewältigung von Sicherheitsvorfällen und -risiken nach einem genau festgelegten Ablauf zuständig ist und die Voraussetzungen von Anhang I Nummer 1 erfüllt. Ein CERT kann innerhalb einer zuständigen Behörde eingerichtet werden.

Änderungsantrag  23

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 3 – Buchstabe f a (neu)

Vorschlag der Kommission

Geänderter Text

 

fa) Übermittlung von Informationen an den EU-Koordinator für die Terrorismusbekämpfung in Form eines Berichts, sofern dies in Anbetracht der Art der Gefahr oder Bedrohung relevant ist; die zuständigen Behörden können den EU-Koordinator für die Terrorismusbekämpfung auch um Unterstützung in Form einer Analyse der Vorbereitungstätigkeit und der Maßnahmen des Kooperationsnetzes ersuchen;

Änderungsantrag  24

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a. Personenbezogene Daten werden nur Empfängern mitgeteilt, die diese Daten verarbeiten müssen, um ihre mit einer geeigneten Rechtsgrundlage versehenen Aufgaben erfüllen zu können. Mitgeteilt werden dürfen nur Daten, die zur Erfüllung der Aufgaben erforderlich sind. Dabei ist dafür zu sorgen, dass der Grundsatz der Zweckbindung eingehalten wird. Für die Zwecke dieser Richtlinie ist die Höchstspeicherdauer dieser Daten festzulegen.

Änderungsantrag  25

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante Informationen zu einem bestimmten Sicherheitsrisiko oder ‑vorfall vorzulegen.

3. Die Kommission kann auf Anfrage eines Mitgliedstaats oder von Amts wegen einen anderen Mitgliedstaat ersuchen, relevante Informationen zu einem bestimmten Sicherheitsrisiko oder ‑vorfall im Einklang mit den Bestimmungen der Datenschutz-Grundverordnung vorzulegen.

Änderungsantrag  26

Vorschlag für eine Richtlinie

Artikel 13 – Absatz -1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

-1a) Die HR/VP lässt die Aspekte der Cybersicherheit in alle Politikbereiche des außenpolitischen Handelns der EU (insbesondere was die Beziehungen zu Drittländern anbelangt) einfließen. Ziel ist es, den Austausch über die Lehren aus der Vergangenheit und die Zusammenarbeit in Angelegenheiten der Cybersicherheit zu intensivieren.

Änderungsantrag  27

Vorschlag für eine Richtlinie

Artikel 13 – Absatz -1 b (neu)

Vorschlag der Kommission

Geänderter Text

 

-1b) Der Rat und die Kommission drängen in ihren Beziehungen zu Drittländern und im Rahmen von Kooperationsvereinbarungen mit Drittländern – insbesondere mit jenen, mit denen eine Zusammenarbeit im Bereich Technologie besteht – auf Mindeststandards in der Sicherheit der Informationssysteme.

Änderungsantrag  28

Vorschlag für eine Richtlinie

Artikel 20 – Überschrift

Vorschlag der Kommission

Geänderter Text

Überprüfung

Berichterstattung und Überprüfung

Änderungsantrag  29

Vorschlag für eine Richtlinie

Artikel 20 – Absatz -1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

-1a) Die Kommission legt dem Europäischen Parlament und dem Rat einen jährlichen Bericht über die ihr im Rahmen dieser Richtlinie gemeldeten Sicherheitsvorfälle und Maßnahmen vor.

Änderungsantrag  30

Vorschlag für eine Richtlinie

Anhang I – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Das CERT ergreift und verwaltet Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der eingehenden und von ihm behandelten Informationen zu gewährleisten.

b) Das CERT ergreift und verwaltet Sicherheitsmaßnahmen im Einklang mit den Datenschutzvorschriften, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der eingehenden und von ihm behandelten Informationen zu gewährleisten.

Änderungsantrag  31

Vorschlag für eine Richtlinie

Anhang II – Überschrift 2 (nach Artikel 3 Absatz 8 Buchstabe a) – Absatz 5 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(5a) Bereich Sicherheit und Verteidigung: Wirtschaftsteilnehmer, die Bau- und Dienstleistungen im Sinne der Richtlinie 2009/81/EG, insbesondere von deren Artikel 46, erbringen

VERFAHREN

Titel

Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

Bezugsdokumente – Verfahrensnummer

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Federführender Ausschuss

       Datum der Bekanntgabe im Plenum

IMCO

15.4.2013

 

 

 

Stellungnahme von

       Datum der Bekanntgabe im Plenum

AFET

15.4.2013

Verfasser(in) der Stellungnahme

       Datum der Benennung

Ana Gomes

19.2.2013

Prüfung im Ausschuss

18.9.2013

 

 

 

Datum der Annahme

5.12.2013

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

31

3

8

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Elmar Brok, Jerzy Buzek, Mark Demesmaeker, Marietta Giannakou, Ana Gomes, Andrzej Grzyb, Anna Ibrisagic, Jelko Kacin, Tunne Kelam, Nicole Kiil-Nielsen, Andrey Kovatchev, Eduard Kukan, Marusya Lyubcheva, Annemie Neyts-Uyttebroeck, Norica Nicolai, Raimon Obiols, Kristiina Ojuland, Ria Oomen-Ruijten, Ioan Mircea Paşcu, Alojz Peterle, Mirosław Piotrowski, Bernd Posselt, Hans-Gert Pöttering, Cristian Dan Preda, Libor Rouček, Tokia Saïfi, José Ignacio Salafranca Sánchez-Neyra, György Schöpflin, Werner Schulz, Marek Siwiec, Charles Tannock, Geoffrey Van Orden, Nikola Vuljanić, Boris Zala

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter

Marije Cornelissen, Barbara Lochbihler, Doris Pack, Marietje Schaake, Indrek Tarand, Ivo Vajgl, Paweł Zalewski

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 187 Abs. 2)

Hiltrud Breyer


VERFAHREN

Titel

Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

Bezugsdokumente - Verfahrensnummer

COM(2013)0048 – C7-0035/2013 – 2013/0027(COD)

Datum der Konsultation des EP

5.2.2013

 

 

 

Federführender Ausschuss

       Datum der Bekanntgabe im Plenum

IMCO

15.4.2013

 

 

 

Mitberatende(r) Ausschuss/Ausschüsse

       Datum der Bekanntgabe im Plenum

AFET

15.4.2013

INTA

15.4.2013

BUDG

15.4.2013

ECON

15.4.2013

 

ENVI

15.4.2013

ITRE

15.4.2013

TRAN

15.4.2013

JURI

15.4.2013

 

LIBE

15.4.2013

 

 

 

Nicht abgegebene Stellungnahme(n)

       Datum des Beschlusses

INTA

20.3.2013

BUDG

21.2.2013

ECON

18.6.2013

ENVI

19.2.2013

 

TRAN

18.3.2013

JURI

20.2.2013

 

 

Assoziierte(r) Ausschuss/Ausschüsse

       Datum der Bekanntgabe im Plenum

ITRE

12.9.2013

LIBE

12.9.2013

 

 

Berichterstatter(-in/-innen)

       Datum der Benennung

Andreas Schwab

20.3.2013

 

 

 

Prüfung im Ausschuss

25.4.2013

18.6.2013

5.9.2013

4.11.2013

 

9.1.2014

 

 

 

Datum der Annahme

23.1.2014

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

33

1

1

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Sergio Gaetano Cofferati, Lara Comi, Anna Maria Corazza Bildt, Christian Engström, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Eduard-Raul Hellvig, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Franz Obermayr, Sirpa Pietikäinen, Zuzana Roithová, Heide Rühle, Andreas Schwab, Róża Gräfin von Thun und Hohenstein, Bernadette Vergnaud, Barbara Weiler

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter(innen)

Regina Bastos, Ashley Fox, María Irigoyen Pérez, Morten Løkkegaard, Tadeusz Ross, Marc Tarabella, Patricia van der Kammen, Sabine Verheyen, Josef Weidenholzer

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 187 Abs. 2)

Vital Moreira, Oreste Rossi

Datum der Einreichung

12.2.2014

Rechtlicher Hinweis - Datenschutzbestimmungen