BERICHT über den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Ausschuss für Industrie, Forschung und Energie
Berichterstatter: Bart Groothuis
Verfasser der Stellungnahme (*):
Lukas Mandl, Ausschuss für bürgerliche Freiheiten, Justiz und Inneres
(*) Assoziierte Ausschüsse – Artikel 57 der Geschäftsordnung

Änderungsanträge

Verfahren : 2020/0359(COD)

Werdegang im Plenum

Entwicklungsstadium in Bezug auf das Dokument :

A9-0313/2021

Eingereichte Texte :

A9-0313/2021

Aussprachen :

PV 10/11/2022 - 3
CRE 10/11/2022 - 3

Abstimmungen :

PV 10/11/2022 - 5.8
CRE 10/11/2022 - 5.8
Erklärungen zur Abstimmung

Angenommene Texte :

P9_TA(2022)0383

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS
BEGRÜNDUNG
STELLUNGNAHME DES AUSSCHUSSES FÜR BÜRGERLICHE FREIHEITEN, JUSTIZ UND INNERES
STELLUNGNAHME DES AUSSCHUSSES FÜR AUSWÄRTIGE ANGELEGENHEITEN
STELLUNGNAHME DES AUSSCHUSSES FÜR BINNENMARKT UND VERBRAUCHERSCHUTZ
STELLUNGNAHME DES AUSSCHUSSES FÜR VERKEHR UND TOURISMUS
VERFAHREN DES FEDERFÜHRENDEN AUSSCHUSSES
NAMENTLICHE SCHLUSSABSTIMMUNG IM FEDERFÜHRENDEN AUSSCHUSS

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Ordentliches Gesetzgebungsverfahren: erste Lesung)

Das Europäische Parlament,

– unter Hinweis auf den Vorschlag der Kommission an das Europäische Parlament und den Rat (COM(2020)0823),

– gestützt auf Artikel 294 Absatz 2 und Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C9‑0422/2020),

– gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

– unter Hinweis auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses vom 27. April 2021 [1],

– nach Anhörung des Ausschusses der Regionen,

– gestützt auf Artikel 59 seiner Geschäftsordnung,

– unter Hinweis auf die Stellungnahmen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres, des Ausschusses für auswärtige Angelegenheiten, des Ausschusses für Binnenmarkt und Verbraucherschutz sowie des Ausschusses für Verkehr und Tourismus,

– unter Hinweis auf den Bericht des Ausschusses für Industrie, Forschung und Energie (A9-0313/2021),

1. legt den folgenden Standpunkt in erster Lesung fest;

2. fordert die Kommission auf, es erneut zu befassen, falls sie ihren Vorschlag ersetzt, entscheidend ändert oder beabsichtigt, ihn entscheidend zu ändern;

3. beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

Änderungsantrag 1

Vorschlag für eine Richtlinie

Titel


Vorschlag der Kommission	Geänderter Text
Vorschlag für eine	Vorschlag für eine
RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES	RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES
über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148	über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) und zur Aufhebung der Richtlinie (EU) 2016/1148

Änderungsantrag 2

Vorschlag für eine Richtlinie

Erwägung 1


Vorschlag der Kommission	Geänderter Text
(1) Ziel der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates11 war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Cybersicherheitsvorfällen, um so zum reibungslosen Funktionieren der Wirtschaft und Gesellschaft der Union beizutragen.	(1) Ziel der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates11, gemeinhin als „NIS-Richtlinie“ bekannt, war der unionsweite Aufbau von Cybersicherheitskapazitäten, die Eindämmung von Bedrohungen für Netz- und Informationssysteme, die zur Erbringung wesentlicher Dienste in Schlüsselsektoren verwendet werden, und die Sicherstellung der Kontinuität solcher Dienste bei Cybersicherheitsvorfällen, um so zur Sicherheit der Union und zum reibungslosen Funktionieren ihrer Wirtschaft und Gesellschaft beizutragen.
__________________	__________________
11 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).	11 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

Änderungsantrag 3

Vorschlag für eine Richtlinie

Erwägung 3


Vorschlag der Kommission	Geänderter Text
(3) Netz- und Informationssysteme sind durch den schnellen digitalen Wandel und die Vernetzung der Gesellschaft zu einem zentralen Bestandteil des Alltags und für den grenzüberschreitenden Austausch geworden. Diese Entwicklung hat zu einer Ausweitung der Bedrohungslage im Bereich der Cybersicherheit geführt und neue Herausforderungen mit sich gebracht, die in allen Mitgliedstaaten entsprechende koordinierte und innovative Reaktionen erfordern. Die Anzahl, Tragweite, Komplexität, Häufigkeit und Auswirkungen von Cybersicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. Im Ergebnis können Cybersicherheitsvorfälle die Ausübung wirtschaftlicher Tätigkeiten im Binnenmarkt beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft und Gesellschaft der Union großen Schaden zufügen. Heute sind daher im Bereich Cybersicherheit Vorsorge und Wirksamkeit wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts.	(3) Netz- und Informationssysteme sind durch den schnellen digitalen Wandel und die Vernetzung der Gesellschaft zu einem zentralen Bestandteil des Alltags und für den grenzüberschreitenden Austausch geworden. Diese Entwicklung hat zu einer Ausweitung der Bedrohungslage im Bereich der Cybersicherheit geführt und neue Herausforderungen mit sich gebracht, die in allen Mitgliedstaaten entsprechende koordinierte und innovative Reaktionen erfordern. Die Anzahl, Tragweite, Komplexität, Häufigkeit und Auswirkungen von Cybersicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. Im Ergebnis können Cybersicherheitsvorfälle die Ausübung wirtschaftlicher Tätigkeiten im Binnenmarkt beeinträchtigen, finanzielle Verluste verursachen, das Vertrauen der Nutzer untergraben und der Wirtschaft und Gesellschaft der Union großen Schaden zufügen. Heute sind daher im Bereich Cybersicherheit Vorsorge und Wirksamkeit wichtiger denn je für das reibungslose Funktionieren des Binnenmarkts. Darüber hinaus ist die Cybersicherheit für viele kritische Sektoren eine entscheidende Voraussetzung, um den digitalen Wandel erfolgreich zu bewältigen und die wirtschaftlichen, sozialen und dauerhaften Vorteile der Digitalisierung voll zu nutzen.

Änderungsantrag 4

Vorschlag für eine Richtlinie

Erwägung 3 a (neu)


Vorschlag der Kommission	Geänderter Text
	(3a) Cybersicherheitsvorfälle und -krisen großen Ausmaßes auf Unionsebene erfordern aufgrund der starken Interdependenz zwischen Sektoren und Ländern ein koordiniertes Vorgehen, um eine schnelle und wirksame Reaktion zu gewährleisten. Die Verfügbarkeit widerstandsfähiger Netze und Informationssysteme sowie die Verfügbarkeit, Vertraulichkeit und Integrität von Daten sind für die Sicherheit der Union innerhalb und außerhalb ihrer Grenzen von entscheidender Bedeutung, da Cyberbedrohungen auch von außerhalb der Union ausgehen könnten. Das Bestreben der Union, eine stärkere geopolitische Rolle einzunehmen, hängt auch von einer glaubwürdigen Cyberabwehr und -abschreckung ab, wozu auch die Fähigkeit gehört, böswillige Handlungen zeitnah und wirksam zu erkennen und angemessen darauf zu reagieren.

Änderungsantrag 5

Vorschlag für eine Richtlinie

Erwägung 5


Vorschlag der Kommission	Geänderter Text
(5) All diese Unterschiede führen zu einer Fragmentierung des Binnenmarkts und können sich nachteilig auf dessen Funktionieren auswirken und aufgrund der Anwendung unterschiedlicher Normen insbesondere die grenzüberschreitende Erbringung von Diensten und das Niveau der Cyberresilienz beeinträchtigen. Ziel der vorliegenden Richtlinie ist, diese großen Unterschiede zwischen den Mitgliedstaaten zu beseitigen, indem insbesondere Mindestvorschriften für einen funktionierenden und koordinierten Rechtsrahmen festgelegt werden, Mechanismen für die wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten vorgesehen werden, die Liste der Sektoren und Tätigkeiten, die Pflichten im Hinblick auf die Cybersicherheit unterliegen, aktualisiert wird und wirksame Abhilfemaßnahmen und Sanktionen, die für die wirksame Durchsetzung dieser Verpflichtungen von entscheidender Bedeutung sind, eingeführt werden. Daher sollte die Richtlinie (EU) 2016/1148 aufgehoben und durch die vorliegende Richtlinie ersetzt werden.	(5) All diese Unterschiede führen zu einer Fragmentierung des Binnenmarkts und können sich nachteilig auf dessen Funktionieren auswirken und aufgrund der Anwendung unterschiedlicher Normen insbesondere die grenzüberschreitende Erbringung von Diensten und das Niveau der Cyberresilienz beeinträchtigen. Letztendlich könnten diese Unterschiede zu einer höheren Anfälligkeit einiger Mitgliedstaaten gegenüber Cybersicherheitsbedrohungen führen, deren Auswirkungen auf die gesamte Union übergreifen könnten. Ziel der vorliegenden Richtlinie ist, diese großen Unterschiede zwischen den Mitgliedstaaten zu beseitigen, indem insbesondere Mindestvorschriften für einen funktionierenden und koordinierten Rechtsrahmen festgelegt werden, Mechanismen für die wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten vorgesehen werden, die Liste der Sektoren und Tätigkeiten, die Pflichten im Hinblick auf die Cybersicherheit unterliegen, aktualisiert wird und wirksame Abhilfemaßnahmen und Sanktionen, die für die wirksame Durchsetzung dieser Verpflichtungen von entscheidender Bedeutung sind, eingeführt werden. Daher sollte die Richtlinie (EU) 2016/1148 aufgehoben und durch die vorliegende Richtlinie (NIS-2-Richtlinie) ersetzt werden.

Änderungsantrag 6

Vorschlag für eine Richtlinie

Erwägung 6


Vorschlag der Kommission	Geänderter Text
(6) Im Einklang mit dem Unionsrecht bleibt die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, von der vorliegenden Richtlinie unberührt. Nach Artikel 346 AEUV ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seinen wesentlichen Sicherheitsinteressen widerspräche. In diesem Zusammenhang sind nationale und Unionsvorschriften zum Schutz von Verschlusssachen, Geheimhaltungsvereinbarungen und informelle Geheimhaltungsvereinbarungen wie das sogenannte Traffic Light Protocol14 von Bedeutung.	(6) Im Einklang mit dem Unionsrecht bleibt die Möglichkeit der Mitgliedstaaten, die für die Wahrung ihrer wesentlichen Sicherheitsinteressen und den Schutz der öffentlichen Ordnung und der öffentlichen Sicherheit erforderlichen Maßnahmen zu ergreifen und die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten zuzulassen, von der vorliegenden Richtlinie unberührt. Nach Artikel 346 AEUV ist kein Mitgliedstaat verpflichtet, Auskünfte zu erteilen, deren Preisgabe seinen wesentlichen Sicherheitsinteressen widerspräche. In diesem Zusammenhang sind nationale und Unionsvorschriften zum Schutz von Verschlusssachen, Geheimhaltungsvereinbarungen und informelle Geheimhaltungsvereinbarungen wie das sogenannte Traffic Light Protocol14 von Bedeutung.
__________________	__________________
14 Mithilfe des Traffic Light Protocol (TLP) kann jemand, der Informationen weitergibt, die Empfänger über etwaige Einschränkungen bei der weiteren Verbreitung dieser Informationen informieren. Es wird in fast allen CSIRT-Gemeinschaften und einigen Informationsaustausch- und -analysezentren (Information Sharing and Analysis Centres – ISACs) genutzt.	14 Mithilfe des Traffic Light Protocol (TLP) kann jemand, der Informationen weitergibt, die Empfänger über etwaige Einschränkungen bei der weiteren Verbreitung dieser Informationen informieren. Es wird in fast allen CSIRT-Gemeinschaften und einigen Informationsaustausch- und -analysezentren (Information Sharing and Analysis Centres – ISACs) genutzt.

Änderungsantrag 7

Vorschlag für eine Richtlinie

Erwägung 7


Vorschlag der Kommission	Geänderter Text
(7) Mit der Aufhebung der Richtlinie (EU) 2016/1148 sollte der Anwendungsbereich nach Sektoren aus den in den Erwägungsgründen 4 bis 6 dargelegten Gründen auf einen größeren Teil der Wirtschaft ausgeweitet werden. Die Liste der Sektoren, die unter die Richtlinie (EU) 2016/1148 fallen, sollte daher erweitert werden, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind. Bei den Vorschriften sollte nicht danach unterschieden werden, ob es sich bei den Einrichtungen um Betreiber wesentlicher Dienste oder um Anbieter digitaler Dienste handelt. Diese Differenzierung hat sich als überholt erwiesen, da sie nicht die tatsächliche Bedeutung der Sektoren oder Dienste für die gesellschaftlichen und wirtschaftlichen Tätigkeiten im Binnenmarkt widerspiegelt.	(7) Mit der Aufhebung der Richtlinie (EU) 2016/1148 sollte der Anwendungsbereich nach Sektoren aus den in den Erwägungsgründen 4 bis 6 dargelegten Gründen auf einen größeren Teil der Wirtschaft ausgeweitet werden. Die Liste der Sektoren, die unter die Richtlinie (EU) 2016/1148 fallen, sollte daher erweitert werden, um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind. Bei den Risikomanagementanforderungen und Meldepflichten sollte nicht danach unterschieden werden, ob es sich bei den Einrichtungen um Betreiber wesentlicher Dienste oder um Anbieter digitaler Dienste handelt. Diese Differenzierung hat sich als überholt erwiesen, da sie nicht die tatsächliche Bedeutung der Sektoren oder Dienste für die gesellschaftlichen und wirtschaftlichen Tätigkeiten im Binnenmarkt widerspiegelt.

Änderungsantrag 8

Vorschlag für eine Richtlinie

Erwägung 8


Vorschlag der Kommission	Geänderter Text
(8) Gemäß der Richtlinie (EU) 2016/1148 waren die Mitgliedstaaten dafür zuständig zu bestimmen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen („Ermittlungsprozess“). Um die diesbezüglichen großen Unterschiede zwischen den Mitgliedstaaten zu beheben und für alle relevanten Einrichtungen Rechtssicherheit hinsichtlich der Risikomanagementanforderungen und der Meldepflichten zu gewährleisten, sollte ein einheitliches Kriterium dafür festgelegt werden, welche Einrichtungen in den Anwendungsbereich der vorliegenden Richtlinie fallen. Dieses Kriterium sollte in der Anwendung des Schwellenwerts für die Größe bestehen, nach der alle mittleren und großen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission15, die in den Sektoren tätig sind oder die Art von Diensten erbringen, die unter die vorliegende Richtlinie fallen, in den Anwendungsbereich der Richtlinie fallen. Die Mitgliedstaaten sollten nicht verpflichtet sein, eine Liste der Einrichtungen zu erstellen, die dieses allgemein anwendbare größenbezogene Kriterium erfüllen.	(8) Gemäß der Richtlinie (EU) 2016/1148 waren die Mitgliedstaaten dafür zuständig zu bestimmen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen („Ermittlungsprozess“). Um die diesbezüglichen großen Unterschiede zwischen den Mitgliedstaaten zu beheben und für alle relevanten Einrichtungen Rechtssicherheit hinsichtlich der Risikomanagementanforderungen und der Meldepflichten zu gewährleisten, sollte ein einheitliches Kriterium dafür festgelegt werden, welche Einrichtungen in den Anwendungsbereich der vorliegenden Richtlinie fallen. Dieses Kriterium sollte in der Anwendung des Schwellenwerts für die Größe bestehen, nach der alle mittleren und großen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission15, die in den Sektoren tätig sind oder die Art von Diensten erbringen, die unter die vorliegende Richtlinie fallen, in den Anwendungsbereich der Richtlinie fallen.
__________________	__________________
15 Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).	15 Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).

Änderungsantrag 9

Vorschlag für eine Richtlinie

Erwägung 9


Vorschlag der Kommission	Geänderter Text
(9) Allerdings sollten auch Klein- und Kleinsteinrichtungen, die bestimmte Kriterien erfüllen, nach denen sie eine Schlüsselrolle für die Wirtschaft oder Gesellschaft des betreffenden Mitgliedstaats oder für bestimmte Sektoren oder Arten von Diensten spielen, von der vorliegenden Richtlinie erfasst werden. Die Mitgliedstaaten sollten für die Erstellung einer Liste solcher Einrichtungen zuständig sein und diese der Kommission übermitteln.	(9) Allerdings sollten auch Klein- und Kleinsteinrichtungen, die bestimmte Kriterien erfüllen, nach denen sie eine Schlüsselrolle für die Wirtschaft oder Gesellschaft des betreffenden Mitgliedstaats oder für bestimmte Sektoren oder Arten von Diensten spielen, von der vorliegenden Richtlinie erfasst werden.

Änderungsantrag 10

Vorschlag für eine Richtlinie

Erwägung 9 a (neu)


Vorschlag der Kommission	Geänderter Text
	(9a) Die Mitgliedstaaten sollten eine Liste aller wesentlichen und wichtigen Einrichtungen erstellen. Diese Liste sollte die Einrichtungen, die die allgemein geltenden größenbezogenen Kriterien erfüllen, sowie Klein- und Kleinstunternehmen enthalten, die bestimmte Kriterien erfüllen, die ihrer Schlüsselrolle für die Wirtschaft oder Gesellschaft der Mitgliedstaaten entsprechen. Damit die Soforteinsatzteams für IT-Sicherheitsvorfälle (CSIRTs) und die zuständigen Behörden Unterstützung leisten und die Einrichtungen vor Cyber-Vorfällen warnen können, die sie betreffen könnten, ist es wichtig, dass diese Behörden über die richtigen Kontaktdaten der Einrichtungen verfügen. Wesentliche und wichtige Einrichtungen sollten daher den zuständigen Behörden mindestens die folgenden Informationen übermitteln: Name der Einrichtung, Anschrift und aktuelle Kontaktdaten, darunter E-Mail-Adressen, IP-Bereiche, Telefonnummern, sowie relevante(n) Sektor(en) und Teilsektor(en) gemäß den Anhängen I und II. Die Einrichtungen sollten die zuständigen Behörden über jede Änderung dieser Informationen unterrichten. Die Mitgliedstaaten sollten unverzüglich sicherstellen, dass diese Informationen über eine zentrale Anlaufstelle problemlos bereitgestellt werden können. Zu diesem Zweck sollte die ENISA in Zusammenarbeit mit der Kooperationsgruppe unverzüglich Leitlinien und Vorlagen für die Meldepflichten herausgeben. Die Mitgliedstaaten sollten der Kommission und der Kooperationsgruppe die Anzahl der wesentlichen und wichtigen Einrichtungen mitteilen. Die Mitgliedstaaten sollten der Kommission für die Zwecke der in dieser Richtlinie genannten Überprüfung auch die Namen der kleinen Unternehmen und Kleinstunternehmen mitteilen, die als wesentliche und wichtige Einrichtungen identifiziert wurden, damit die Kommission die Kohärenz zwischen den Ansätzen der Mitgliedstaaten bewerten kann. Diese Informationen sollten streng vertraulich behandelt werden.

Änderungsantrag 11

Vorschlag für eine Richtlinie

Erwägung 10


Vorschlag der Kommission	Geänderter Text
(10) Die Kommission kann in Zusammenarbeit mit der Kooperationsgruppe Leitlinien für die Anwendung der für Klein- und Kleinstunternehmen geltenden Kriterien herausgeben.	(10) Die Kommission sollte in Zusammenarbeit mit der Kooperationsgruppe und einschlägigen Interessenträgern Leitlinien für die Anwendung der für Kleinstunternehmen und kleine Unternehmen geltenden Kriterien herausgeben. Die Kommission sollte auch dafür sorgen, dass alle Kleinst- und Kleinunternehmen, die in den Anwendungsbereich dieser Richtlinie fallen, eine angemessene Anleitung erhalten. Die Kommission sollte mit Unterstützung der Mitgliedstaaten den Kleinst- und Kleinunternehmen diesbezügliche Informationen zur Verfügung stellen.

Änderungsantrag 12

Vorschlag für eine Richtlinie

Erwägung 10 a (neu)


Vorschlag der Kommission	Geänderter Text
	(10a) Die Kommission sollte ferner Leitlinien herausgeben, um die Mitgliedstaaten bei der korrekten Umsetzung der Bestimmungen über den Anwendungsbereich zu unterstützen und die Verhältnismäßigkeit der in dieser Richtlinie dargelegten Pflichten zu evaluieren, insbesondere in Bezug auf Einrichtungen mit komplexen Geschäftsmodellen oder Betriebsumgebungen, wobei eine Einrichtung gleichzeitig die Kriterien für wesentliche und für wichtige Einrichtungen erfüllen kann oder gleichzeitig Tätigkeiten, die in den Anwendungsbereich dieser Richtlinie fallen, und andere Tätigkeiten ausführen kann.

Änderungsantrag 13

Vorschlag für eine Richtlinie

Erwägung 12


Vorschlag der Kommission	Geänderter Text
(12) Durch sektorspezifische Rechtsvorschriften und Instrumente kann dazu beigetragen werden, ein hohes Maß an Cybersicherheit zu gewährleisten und gleichzeitig den Besonderheiten und Komplexitäten der Sektoren in vollem Umfang Rechnung zu tragen. Müssen wesentliche oder wichtige Einrichtungen gemäß einem sektorspezifischen Rechtsakt der Union Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder Sicherheitsvorfälle oder erhebliche Cyberbedrohungen melden und ist dies in der Wirkung den in der vorliegenden Richtlinie festgelegten Verpflichtungen mindestens gleichwertig, so sollten diese sektorspezifischen Bestimmungen, einschließlich in Bezug auf Aufsicht und Durchsetzung, Anwendung finden. Die Kommission kann Leitlinien im Zusammenhang mit der Umsetzung der lex specialis herausgeben. Die vorliegende Richtlinie schließt nicht aus, dass zusätzliche sektorspezifische Rechtsakte der Union zu Maßnahmen zum Cybersicherheitsrisikomanagement und zur Meldung von Sicherheitsvorfällen erlassen werden. Die vorliegende Richtlinie berührt nicht die bestehenden Durchführungsbefugnisse, die der Kommission in einer Reihe von Sektoren, darunter Verkehr und Energie, übertragen wurden.	(12) Durch sektorspezifische Rechtsvorschriften und Instrumente kann dazu beigetragen werden, ein hohes Maß an Cybersicherheit zu gewährleisten und gleichzeitig den Besonderheiten und Komplexitäten der Sektoren in vollem Umfang Rechnung zu tragen. Sektorspezifische Rechtsakte der Union, die von wesentlichen oder wichtigen Einrichtungen verlangen, Maßnahmen des Cybersicherheitsrisikomanagements zu ergreifen oder erhebliche Sicherheitsvorfälle zu melden, sollten sich, soweit möglich, der Terminologie dieser Richtlinie bedienen und auf ihre Begriffsbestimmungen verweisen. Müssen wesentliche oder wichtige Einrichtungen gemäß einem sektorspezifischen Rechtsakt der Union Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder Sicherheitsvorfälle melden, und sind diese Anforderungen in der Wirkung den in der vorliegenden Richtlinie festgelegten Verpflichtungen mindestens gleichwertig und gelten sie für die Gesamtheit der Sicherheitsaspekte der von wesentlichen und wichtigen Einrichtungen erbrachten Tätigkeiten und Dienste, so sollten diese sektorspezifischen Bestimmungen, einschließlich in Bezug auf Aufsicht und Durchsetzung, Anwendung finden. Die Kommission sollte umfassende Leitlinien im Zusammenhang mit der Umsetzung der lex specialis herausgeben und dabei die einschlägigen Stellungnahmen, das Fachwissen und die bewährten Verfahren der ENISA und der Kooperationsgruppe berücksichtigen. Die vorliegende Richtlinie schließt nicht aus, dass zusätzliche sektorspezifische Rechtsakte der Union zu Maßnahmen zum Cybersicherheitsrisikomanagement und zur Meldung von Sicherheitsvorfällen, die der Notwendigkeit eines umfassenden und kohärenten Cybersicherheitsrahmens gebührend Rechnung tragen, erlassen werden. Die vorliegende Richtlinie berührt nicht die bestehenden Durchführungsbefugnisse, die der Kommission in einer Reihe von Sektoren, darunter Verkehr und Energie, übertragen wurden.

Änderungsantrag 14

Vorschlag für eine Richtlinie

Erwägung 14


Vorschlag der Kommission	Geänderter Text
(14) Angesichts der Zusammenhänge zwischen der Cybersicherheit und der physischen Sicherheit von Einrichtungen sollte dafür gesorgt werden, dass der Ansatz der Richtlinie (EU) XXX/XXX des Europäischen Parlaments und des Rates17 und der Ansatz der vorliegenden Richtlinie kohärent sind. Um dies zu erreichen, sollten die Mitgliedstaaten sicherstellen, dass kritische Einrichtungen und diesen gleichgestellte Einrichtungen im Sinne der Richtlinie (EU) XXX/XXX als wesentliche Einrichtungen im Sinne der vorliegenden Richtlinie gelten. Die Mitgliedstaaten sollten auch sicherstellen, dass ihre Cybersicherheitsstrategien einen politischen Rahmen für eine verstärkte Koordinierung zwischen der gemäß der vorliegenden Richtlinie zuständigen Behörde und der gemäß Richtlinie (EU) XXX/XXX zuständigen Behörde beim Informationsaustausch über Sicherheitsvorfälle und Cyberbedrohungen und bei der Wahrnehmung von Aufsichtsaufgaben vorsehen. Die gemäß diesen beiden Richtlinien zuständigen Behörden sollten zusammenarbeiten und Informationen austauschen, insbesondere in Bezug auf die Ermittlung kritischer Einrichtungen, Cyberbedrohungen, Cybersicherheitsrisiken und Sicherheitsvorfälle, die kritische Einrichtungen beeinträchtigen, sowie über die von kritischen Einrichtungen ergriffenen Cybersicherheitsmaßnahmen. Auf Ersuchen der gemäß der Richtlinie (EU) XXX/XXX zuständigen Behörden sollte den gemäß der vorliegenden Richtlinie zuständigen Behörden gestattet werden, ihre Aufsichts- und Durchsetzungsbefugnisse gegenüber einer als kritisch eingestuften wesentlichen Einrichtung auszuüben. Beide Behörden sollten zu diesem Zweck zusammenarbeiten und Informationen austauschen.	(14) Angesichts der Zusammenhänge zwischen der Cybersicherheit und der physischen Sicherheit von Einrichtungen sollte dafür gesorgt werden, dass der Ansatz der Richtlinie (EU) XXX/XXX des Europäischen Parlaments und des Rates17 und der Ansatz der vorliegenden Richtlinie kohärent sind. Um dies zu erreichen, sollten die Mitgliedstaaten sicherstellen, dass kritische Einrichtungen und diesen gleichgestellte Einrichtungen im Sinne der Richtlinie (EU) XXX/XXX als wesentliche Einrichtungen im Sinne der vorliegenden Richtlinie gelten. Die Mitgliedstaaten sollten auch sicherstellen, dass ihre Cybersicherheitsstrategien einen politischen Rahmen für eine verstärkte Koordinierung zwischen den gemäß der vorliegenden Richtlinie zuständigen Behörden in und zwischen den Mitgliedstaaten und der gemäß der Richtlinie (EU) XXX/XXX zuständigen Behörde beim Informationsaustausch über Sicherheitsvorfälle und Cyberbedrohungen und bei der Wahrnehmung von Aufsichtsaufgaben vorsehen. Die gemäß diesen beiden Richtlinien zuständigen Behörden sollten unverzüglich zusammenarbeiten und Informationen austauschen, insbesondere in Bezug auf die Ermittlung kritischer Einrichtungen, Cyberbedrohungen, Cybersicherheitsrisiken und Sicherheitsvorfälle, die kritische Einrichtungen beeinträchtigen, sowie über die von kritischen Einrichtungen ergriffenen Cybersicherheitsmaßnahmen. Auf Ersuchen der gemäß der Richtlinie (EU) XXX/XXX zuständigen Behörden sollte den gemäß der vorliegenden Richtlinie zuständigen Behörden gestattet werden, ihre Aufsichts- und Durchsetzungsbefugnisse gegenüber einer als kritisch eingestuften wesentlichen Einrichtung auszuüben. Beide Behörden sollten zu diesem Zweck zusammenarbeiten und möglichst in Echtzeit Informationen austauschen.
__________________	__________________
17 [vollständigen Titel und Fundstelle im Amtsblatt einfügen, sobald bekannt].	17 [vollständigen Titel und Fundstelle im Amtsblatt einfügen, sobald bekannt].

Änderungsantrag 15

Vorschlag für eine Richtlinie

Erwägung 15


Vorschlag der Kommission	Geänderter Text
(15) Die Beibehaltung eines zuverlässigen, resilienten und sicheren Domänennamensystems (DNS) ist ein Schlüsselfaktor für die Wahrung der Integrität des Internets und von entscheidender Bedeutung für dessen kontinuierlichen und stabilen Betrieb, von dem die digitale Wirtschaft und Gesellschaft abhängig ist. Daher sollte die vorliegende Richtlinie für alle Anbieter von DNS-Diensten entlang der DNS-Auflösungskette gelten, einschließlich Betreibern von Root-Namenservern, Namenservern der Domäne oberster Stufe (TLD-Namenservern), autoritativen Namenservern für Domänennamen und rekursiven Resolvern.	(15) Die Beibehaltung eines zuverlässigen, resilienten und sicheren Domänennamensystems (DNS) ist ein Schlüsselfaktor für die Wahrung der Integrität des Internets und von entscheidender Bedeutung für dessen kontinuierlichen und stabilen Betrieb, von dem die digitale Wirtschaft und Gesellschaft abhängig ist. Daher sollte die vorliegende Richtlinie für Namenserver der Domäne oberster Stufe (TLD-Namenservern), öffentlich zugängliche rekursive Dienste zur Auflösung von Domänennamen für Internet-Endnutzer und autoritative Dienste zur Auflösung von Domänennamen gelten. Diese Richtlinie gilt nicht für Root-Namenserver.

Änderungsantrag 16

Vorschlag für eine Richtlinie

Erwägung 19


Vorschlag der Kommission	Geänderter Text
(19) Anbieter von Postdiensten im Sinne der Richtlinie 97/67/EG des Europäischen Parlaments und des Rates18 sowie Anbieter von Express- und Kurierdiensten sollten der vorliegenden Richtlinie unterliegen, wenn sie mindestens einen der Schritte in der Postzustellkette und insbesondere Abholung, Sortierung oder Zustellung, einschließlich Abholung durch den Empfänger, anbieten. Transportdienste, die nicht in Verbindung mit einem dieser Schritte erbracht werden, sollten nicht unter Postdienste fallen.	(19) Anbieter von Postdiensten im Sinne der Richtlinie 97/67/EG des Europäischen Parlaments und des Rates18 sowie Anbieter von Express- und Kurierdiensten sollten der vorliegenden Richtlinie unterliegen, wenn sie mindestens einen der Schritte in der Postzustellkette und insbesondere Abholung, Sortierung oder Zustellung, einschließlich Abholung durch den Empfänger, anbieten, wobei das Ausmaß ihrer Abhängigkeit von Netzwerk- und Informationssystemen berücksichtigt werden sollte. Transportdienste, die nicht in Verbindung mit einem dieser Schritte erbracht werden, sollten nicht unter Postdienste fallen.
__________________	__________________
18 Richtlinie 97/67/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über gemeinsame Vorschriften für die Entwicklung des Binnenmarktes der Postdienste der Gemeinschaft und die Verbesserung der Dienstequalität (ABl. L 15 vom 21.1.1998, S. 14).	18 Richtlinie 97/67/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über gemeinsame Vorschriften für die Entwicklung des Binnenmarktes der Postdienste der Gemeinschaft und die Verbesserung der Dienstequalität (ABl. L 15 vom 21.1.1998, S. 14).

Änderungsantrag 17

Vorschlag für eine Richtlinie

Erwägung 20


Vorschlag der Kommission	Geänderter Text
(20) Diese wachsenden gegenseitigen Abhängigkeiten sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend interdependenten Dienstleistungsnetzes, das zentrale Infrastrukturen in der gesamten Union nutzt, und zwar in den Sektoren Energie, Verkehr, digitale Infrastruktur, Trinkwasser und Abwasser, Gesundheit, bestimmten Bereichen der öffentlichen Verwaltung sowie im Weltraumsektor, soweit es um die Erbringung bestimmter Dienste geht, die von Bodeninfrastrukturen abhängig sind, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden; damit sind Infrastrukturen ausgenommen, die sich im Eigentum der Union befinden oder von der Union oder in ihrem Namen im Rahmen ihrer Weltraumprogramme verwaltet oder betrieben werden. Wegen dieser gegenseitigen Abhängigkeiten kann jede Störung, auch wenn sie anfänglich auf eine Einrichtung oder einen Sektor beschränkt ist, zu breiteren Kaskadeneffekten führen, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Dienstleistungen im gesamten Binnenmarkt haben können. Die COVID-19-Pandemie hat gezeigt, wie anfällig unsere zunehmend interdependenten Gesellschaften für Risiken mit geringer Eintrittswahrscheinlichkeit sind.	(20) Diese wachsenden gegenseitigen Abhängigkeiten sind das Ergebnis eines sich über immer mehr Grenzen hinweg erstreckenden und zunehmend interdependenten Dienstleistungsnetzes, das zentrale Infrastrukturen in der gesamten Union nutzt, und zwar in den Sektoren Energie, Verkehr, digitale Infrastruktur, Trinkwasser und Abwasser, Gesundheit, bestimmten Bereichen der öffentlichen Verwaltung sowie im Weltraumsektor, soweit es um die Erbringung bestimmter Dienste geht, die von Bodeninfrastrukturen abhängig sind, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden; damit sind Infrastrukturen ausgenommen, die sich im Eigentum der Union befinden oder von der Union oder in ihrem Namen im Rahmen ihrer Weltraumprogramme verwaltet oder betrieben werden. Wegen dieser gegenseitigen Abhängigkeiten kann jede Störung, auch wenn sie anfänglich auf eine Einrichtung oder einen Sektor beschränkt ist, zu breiteren Kaskadeneffekten führen, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Dienstleistungen im gesamten Binnenmarkt haben können. Die verstärkten Angriffe auf Netz- und Informationssysteme während der COVID-19-Pandemie haben gezeigt, wie anfällig unsere zunehmend interdependenten Gesellschaften für Risiken mit geringer Eintrittswahrscheinlichkeit sind.

Änderungsantrag 18

Vorschlag für eine Richtlinie

Erwägung 24


Vorschlag der Kommission	Geänderter Text
(24) Die Mitgliedstaaten sollten über angemessene technische und organisatorische Kapazitäten zur Prävention, Erkennung, Reaktion und Abschwächung von Sicherheitsvorfällen und Risiken bei Netz- und Informationssystemen verfügen. Die Mitgliedstaaten sollten daher sicherstellen, dass sie über gut funktionierende Reaktionsteams für IT-Sicherheitsvorfälle – Computer Security Incident Response Teams (CSIRTs) oder auch Computer Emergency Response Teams (CERTs) genannt – verfügen, die die grundlegenden Anforderungen erfüllen, damit wirksame und kompatible Kapazitäten zur Bewältigung von Sicherheitsvorfällen und Risiken und eine effiziente Zusammenarbeit auf Unionsebene gewährleistet sind. Um das Vertrauensverhältnis zwischen den Einrichtungen und den CSIRTs zu stärken, sollten die Mitgliedstaaten in Fällen, in denen ein CSIRT Teil der zuständigen Behörde ist, eine funktionale Trennung zwischen den operativen Aufgaben der CSIRTs, insbesondere in Bezug auf den Informationsaustausch und die Unterstützung der Einrichtungen, und den Aufsichtstätigkeiten der zuständigen Behörden in Erwägung ziehen.	(24) Die Mitgliedstaaten sollten über angemessene technische und organisatorische Kapazitäten zur Prävention, Erkennung, Reaktion und Abschwächung von Sicherheitsvorfällen und Risiken bei Netz- und Informationssystemen verfügen. Die Mitgliedstaaten sollten daher ein oder mehrere CSIRTs im Sinne dieser Richtlinie benennen und sicherstellen, dass diese gut funktionieren und die grundlegenden Anforderungen erfüllen, damit wirksame und kompatible Kapazitäten zur Bewältigung von Sicherheitsvorfällen und Risiken und eine effiziente Zusammenarbeit auf Unionsebene gewährleistet sind. Die Mitgliedstaaten können auch bestehende Computer-Notfallteams (CERTs) als CSIRTs benennen. Um das Vertrauensverhältnis zwischen den Einrichtungen und den CSIRTs zu stärken, sollten die Mitgliedstaaten in Fällen, in denen ein CSIRT Teil der zuständigen Behörde ist, eine funktionale Trennung zwischen den operativen Aufgaben der CSIRTs, insbesondere in Bezug auf den Informationsaustausch und die Unterstützung der Einrichtungen, und den Aufsichtstätigkeiten der zuständigen Behörden in Erwägung ziehen.

Änderungsantrag 19

Vorschlag für eine Richtlinie

Erwägung 25


Vorschlag der Kommission	Geänderter Text
(25) In Bezug auf personenbezogene Daten sollten CSIRTs in der Lage sein, im Einklang mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates19 im Namen und auf Ersuchen einer unter die vorliegende Richtlinie fallenden Einrichtung eine proaktive Überprüfung der für die Bereitstellung ihrer Dienste verwendeten Netz- und Informationssysteme auf Schwachstellen vorzunehmen. Die Mitgliedstaaten sollten für alle sektorbezogenen CSIRTs ein vergleichbares Niveau an technischen Kapazitäten anstreben. Die Mitgliedstaaten können die Agentur der Europäischen Union für Cybersicherheit (ENISA) um Unterstützung bei der Einsetzung nationaler CSIRTs ersuchen.	(25) In Bezug auf personenbezogene Daten sollten CSIRTs in der Lage sein, im Einklang mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates19 im Namen und auf Ersuchen einer unter die vorliegende Richtlinie fallenden Einrichtung oder im Falle einer ernsthaften Bedrohung der nationalen Sicherheit eine proaktive Überprüfung der für die Bereitstellung ihrer Dienste verwendeten Netz- und Informationssysteme auf Schwachstellen vorzunehmen. Die Mitgliedstaaten sollten für alle sektorbezogenen CSIRTs ein vergleichbares Niveau an technischen Kapazitäten anstreben. Die Mitgliedstaaten können die Agentur der Europäischen Union für Cybersicherheit (ENISA) um Unterstützung bei der Einsetzung nationaler CSIRTs ersuchen.
__________________	__________________
19 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).	19 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

Änderungsantrag 20

Vorschlag für eine Richtlinie

Erwägung 25 a (neu)


Vorschlag der Kommission	Geänderter Text
	(25a) CSIRTs sollten in der Lage sein, auf Ersuchen einer Einrichtung alle mit dem Internet verbundenen Anlagen innerhalb und außerhalb der Geschäftsräume kontinuierlich zu kontaktieren, zu inventarisieren, zu verwalten und zu überwachen, um das organisatorische Gesamtrisiko für neu entdeckte Sicherheitslücken in der Lieferkette oder kritische Schwachstellen zu verstehen. Die Information darüber, ob eine Einrichtung über eine privilegierte Verwaltungsschnittstelle verfügt, wirkt sich auf die Geschwindigkeit der Durchführung von Abhilfemaßnahmen aus.

Änderungsantrag 21

Vorschlag für eine Richtlinie

Erwägung 26


Vorschlag der Kommission	Geänderter Text
(26) Wegen der Bedeutung der internationalen Zusammenarbeit im Bereich Cybersicherheit sollten die CSIRTs sich zusätzlich zum durch die vorliegende Richtlinie geschaffenen CSIRT-Netzwerk an internationalen Kooperationsnetzen beteiligen können.	(26) Wegen der Bedeutung der internationalen Zusammenarbeit im Bereich Cybersicherheit sollten die CSIRTs sich zusätzlich zum durch die vorliegende Richtlinie geschaffenen CSIRT-Netzwerk an internationalen Kooperationsnetzen – auch mit CSIRTs aus Drittländern, wenn der Informationsaustausch auf Gegenseitigkeit beruht und für die Sicherheit der Bürger und Einrichtungen von Nutzen ist – beteiligen können, um zur Erarbeitung von Normen der Union beizutragen, die die Cybersicherheitslandschaft auf internationaler Ebene prägen können. Die Mitgliedstaaten könnten auch die Möglichkeiten einer verstärkten Zusammenarbeit mit gleichgesinnten Partnerländern und internationalen Organisationen prüfen, um multilaterale Vereinbarungen über Normen für den Cyberbereich, verantwortungsbewusstes staatliches und nichtstaatliches Verhalten im Cyberraum und eine wirksame globale E-Governance sicherzustellen sowie einen offenen, freien, stabilen und sicheren Cyberraum auf der Grundlage des Völkerrechts zu schaffen.

Änderungsantrag 22

Vorschlag für eine Richtlinie

Erwägung 26 a (neu)


Vorschlag der Kommission	Geänderter Text
	(26a) Cyber-Hygienemaßnahmen bilden die Grundlage für den Schutz von Netzwerk- und Informationssysteminfrastrukturen, Hardware, Software und Online-Anwendungssicherheit sowie von Geschäfts- oder Endnutzerdaten, derer sich Einrichtungen bedienen. Cyber-Hygienemaßnahmen, die eine Reihe von grundlegenden Verfahren umfassen, wie z. B. Software- und Hardware-Updates, Passwortänderungen, die Verwaltung neuer Installationen, die Einschränkung von Zugriffskonten auf Administratorenebene und die Sicherung von Daten, ermöglichen einen proaktiven Rahmen für die Bereitschaft und die allgemeine Sicherheit im Falle von Sicherheitsvorfällen oder Bedrohungen. Die ENISA sollte die Cyber-Hygienemaßnahmen der Mitgliedstaaten überwachen und bewerten und unionsweite Systeme erkunden, um grenzüberschreitende Prüfungen zu ermöglichen, die die Gleichwertigkeit unabhängig von den Anforderungen der Mitgliedstaaten sicherstellen.

Änderungsantrag 23

Vorschlag für eine Richtlinie

Erwägung 26 b (neu)


Vorschlag der Kommission	Geänderter Text
	(26b) Der Einsatz von künstlicher Intelligenz (KI) in der Cybersicherheit hat das Potenzial, die Aufdeckung zu verbessern und Angriffe auf Netz- und Informationssysteme zu stoppen, so dass Ressourcen für komplexere Angriffe eingesetzt werden können. Die Mitgliedstaaten sollten daher in ihren nationalen Strategien den Einsatz (halb)automatisierter Werkzeuge für die Cybersicherheit und den Austausch von Daten fördern, die für die Schulung und Verbesserung automatisierter Werkzeuge für die Cybersicherheit erforderlich sind. Um die sich unter Umständen aus KI-gestützten Systemen ergebenden Risiken eines unzulässigen Eingriffs in die Rechte und Freiheiten natürlicher Personen zu mindern, gelten die Anforderungen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 der Verordnung (EU) 2016/679. Die Integration geeigneter Schutzmaßnahmen wie Pseudonymisierung, Verschlüsselung, Datengenauigkeit und Datenminimierung könnten solche Risiken weiter mindern.

Änderungsantrag 24

Vorschlag für eine Richtlinie

Erwägung 26 c (neu)


Vorschlag der Kommission	Geänderter Text
	(26c) Open-Source-Cybersicherheitswerkzeuge und -Anwendungen können zu einem höheren Maß an Transparenz beitragen und sich positiv auf die Effizienz industrieller Innovationen auswirken. Offene Standards erleichtern die Interoperabilität zwischen Sicherheitstools, was der Sicherheit der Interessenträger aus der Industrie zugutekommt. Open-Source-Cybersicherheitswerkzeuge und -anwendungen können die breitere Entwicklergemeinschaft nutzen und die Einrichtungen in die Lage versetzen, eine Diversifizierung der Anbieter anzustreben und offene Sicherheitsstrategien zu verfolgen. Offene Sicherheit kann zu einem transparenteren Überprüfungsprozess von Werkzeugen für die Cybersicherheit und zu einem von der Gemeinschaft gesteuerten Prozess der Aufdeckung von Schwachstellen führen. Die Mitgliedstaaten sollten daher den Einsatz von Open-Source-Software und offenen Standards fördern, indem sie Maßnahmen zur Nutzung offener Daten und Open-Source als Teil der Sicherheit durch Transparenz verfolgen. Maßnahmen zur Förderung der Annahme und nachhaltigen Nutzung von Open-Source-Cybersicherheitswerkzeugen sind besonders für kleine und mittlere Unternehmen (KMU) wichtig, bei denen erhebliche Implementierungskosten anfallen, die durch die Reduzierung des Bedarfs an spezifischen Anwendungen oder Werkzeugen minimiert werden könnten.

Änderungsantrag 25

Vorschlag für eine Richtlinie

Erwägung 26 d (neu)


Vorschlag der Kommission	Geänderter Text
	(26d) Öffentlich-private Partnerschaften (ÖPP) im Bereich der Cybersicherheit können den richtigen Rahmen für den Wissensaustausch, die Weitergabe von bewährten Verfahren und die Schaffung einer gemeinsamen Verständnisebene zwischen allen Beteiligten bieten. Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Cybersicherheitsstrategien Maßnahmen ergreifen, die die Einrichtung von cybersicherheitsspezifischen ÖPP unterstützen. Diese Maßnahmen sollten unter anderem den Anwendungsbereich und die beteiligten Akteure, das Verwaltungsmodell, die verfügbaren Finanzierungsoptionen und das Zusammenspiel der beteiligten Akteure präzisieren. ÖPP können das Fachwissen privatwirtschaftlicher Einrichtungen nutzen, um die zuständigen Behörden der Mitgliedstaaten bei der Entwicklung modernster Dienste und Prozesse zu unterstützen, unter anderem in den Bereichen Informationsaustausch, Frühwarnungen, Übungen zu Cyberbedrohungen und -vorfällen, Krisenmanagement und Resilienzplanung.

Änderungsantrag 26

Vorschlag für eine Richtlinie

Erwägung 27


Vorschlag der Kommission	Geänderter Text
(27) Im Einklang mit dem Anhang der Empfehlung (EU) 2017/1548 der Kommission für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen („Konzeptentwurf“)20 sollte der Begriff „Sicherheitsvorfall großen Ausmaßes“ einen Sicherheitsvorfall bezeichnen, der beträchtliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat oder der eine Störung verursacht, deren Ausmaß die Reaktionsfähigkeit eines Mitgliedstaats übersteigt. Je nach Ursache und Auswirkung können sich Sicherheitsvorfälle großen Ausmaßes verschärfen und zu echten Krisen entwickeln, die das reibungslose Funktionieren des Binnenmarkts verhindern. Angesichts der großen Tragweite und des, in den meisten Fällen, grenzübergreifenden Charakters solcher Sicherheitsvorfälle sollten die Mitgliedstaaten und die einschlägigen Organe, Einrichtungen und sonstigen Stellen der Union auf technischer, operativer und politischer Ebene zusammenarbeiten, um die Reaktion unionsweit angemessen zu koordinieren.	(27) Im Einklang mit dem Anhang der Empfehlung (EU) 2017/1548 der Kommission für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen („Konzeptentwurf“)20 sollte der Begriff „Sicherheitsvorfall großen Ausmaßes“ einen Sicherheitsvorfall bezeichnen, der beträchtliche Auswirkungen auf mindestens zwei Mitgliedstaaten hat oder der eine Störung verursacht, deren Ausmaß die Reaktionsfähigkeit eines Mitgliedstaats übersteigt. Je nach Ursache und Auswirkung können sich Sicherheitsvorfälle großen Ausmaßes verschärfen und zu echten Krisen entwickeln, die das reibungslose Funktionieren des Binnenmarkts verhindern oder ernsthafte, die öffentliche Sicherheit betreffende Risiken für Einrichtungen und Bürger in mehreren Mitgliedstaaten oder in der gesamten Union darstellen. Angesichts der großen Tragweite und des, in den meisten Fällen, grenzübergreifenden Charakters solcher Sicherheitsvorfälle sollten die Mitgliedstaaten und die einschlägigen Organe, Einrichtungen und sonstigen Stellen der Union auf technischer, operativer und politischer Ebene zusammenarbeiten, um die Reaktion unionsweit angemessen zu koordinieren.
__________________	__________________
20 Empfehlung (EU) 2017/1584 der Kommission vom 13. September 2017 für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen (ABl. L 239 vom 19.9.2017, S. 36).	20 Empfehlung (EU) 2017/1584 der Kommission vom 13. September 2017 für eine koordinierte Reaktion auf große Cybersicherheitsvorfälle und -krisen (ABl. L 239 vom 19.9.2017, S. 36).

Änderungsantrag 27

Vorschlag für eine Richtlinie

Erwägung 27 a (neu)


Vorschlag der Kommission	Geänderter Text
	(27a) Die Mitgliedstaaten sollten in ihren nationalen Cybersicherheitsstrategien auf die besonderen Cybersicherheitsbedürfnisse von KMU eingehen. KMU stellen im Kontext der Union einen großen Prozentsatz des Industrie-/Geschäftsmarktes, und sie haben damit zu kämpfen, sich an ein neues Geschäftsgebaren in einer stärker vernetzten Welt anzupassen und sich in der digitalen Umgebung zurechtzufinden, in der Mitarbeiter von zu Hause aus arbeiten und Geschäfte zunehmend online getätigt werden. Einige KMU stehen vor besonderen Herausforderungen im Bereich der Cybersicherheit, wie z. B. geringes Cyber-Bewusstsein, fehlende IT-Sicherheit aus der Ferne, hohe Kosten für Cybersicherheitslösungen und ein erhöhtes Maß an Bedrohungen, wie z. B. Ransomware, für die sie Anleitung und Unterstützung erhalten sollten. Die Mitgliedstaaten sollten eine zentrale Anlaufstelle für Cybersicherheit für KMU einrichten, die entweder Beratung und Unterstützung für KMU anbietet oder sie an die geeigneten Stellen für Beratung und Unterstützung in Fragen der Cybersicherheit weiterleitet. Die Mitgliedstaaten werden ermutigt, auch kleinen Unternehmen und Kleinstunternehmen, die nicht über diese Fähigkeiten verfügen, Dienste wie die Konfiguration von Websites und die Aktivierung der Protokollierung anzubieten.

Änderungsantrag 28

Vorschlag für eine Richtlinie

Erwägung 27 b (neu)


Vorschlag der Kommission	Geänderter Text
	(27b) Die Mitgliedstaaten sollten Maßnahmen zur Förderung einer aktiven Cyberverteidigung als Teil ihrer nationalen Cybersicherheitsstrategien ergreifen. Aktive Cyberverteidigung ist die proaktive Verhütung, Erkennung, Überwachung, Analyse und Abschwächung von Sicherheitsverletzungen im Netzwerk, kombiniert mit der Nutzung von Kapazitäten, die innerhalb und außerhalb des Opfernetzwerks eingesetzt werden. Die Fähigkeit, Bedrohungsinformationen und -analysen, Warnungen zu Cyber-Aktivitäten und Reaktionsmaßnahmen schnell und automatisch auszutauschen und zu verstehen, ist entscheidend, um eine einheitliche Vorgehensweise bei der erfolgreichen Erkennung, Verhütung und Bekämpfung von Angriffen gegen Netz- und Informationssysteme zu ermöglichen. Die aktive Cyberabwehr basiert auf einer defensiven Strategie, die offensive Maßnahmen gegen kritische zivile Infrastrukturen ausschließt.

Änderungsantrag 29

Vorschlag für eine Richtlinie

Erwägung 28


Vorschlag der Kommission	Geänderter Text
(28) Da durch die Ausnutzung von Schwachstellen in Netz- und Informationssystemen erhebliche Störungen und Schäden verursacht werden können, ist die rasche Erkennung und Behebung dieser Schwachstellen ein wichtiger Faktor bei der Verringerung des Cybersicherheitsrisikos. Einrichtungen, die solche Systeme entwickeln, sollten daher geeignete Verfahren für die Behandlung von entdeckten Schwachstellen festlegen. Da Schwachstellen häufig von Dritten (meldenden Einrichtungen) entdeckt und gemeldet (offengelegt) werden, sollte der Hersteller oder Anbieter von IKT-Produkten oder -Diensten auch Verfahren einführen, damit er von Dritten Informationen über Schwachstellen entgegennehmen kann. Diesbezüglich enthalten die internationalen Normen ISO/IEC 30111 und ISO/IEC 29417 Leitlinien für die Behandlung von Schwachstellen bzw. die Offenlegung von Schwachstellen. In Bezug auf die Offenlegung von Schwachstellen ist die Koordinierung zwischen meldenden Einrichtungen und Herstellern oder Anbietern von IKT-Produkten oder -Diensten besonders wichtig. Die koordinierte Offenlegung von Schwachstellen erfolgt in einem strukturierten Prozess, in dem den Organisationen Schwachstellen in einer Weise gemeldet werden, die der Organisation die Diagnose und Behebung der Schwachstelle ermöglicht, bevor detaillierte Informationen über die Schwachstelle an Dritte oder die Öffentlichkeit weitergegeben werden. Die koordinierte Offenlegung von Schwachstellen sollte auch die Koordinierung zwischen der meldenden Einrichtung und der Organisation in Bezug auf den Zeitplan für die Behebung und Veröffentlichung von Schwachstellen umfassen.	(28) Da durch die Ausnutzung von Schwachstellen in Netz- und Informationssystemen erhebliche Störungen und Schäden verursacht werden können, ist die rasche Erkennung und Behebung dieser Schwachstellen ein wichtiger Faktor bei der Verringerung des Cybersicherheitsrisikos. Einrichtungen, die solche Systeme entwickeln, sollten daher geeignete Verfahren für die Behandlung von entdeckten Schwachstellen festlegen. Da Schwachstellen häufig von Dritten (meldenden Einrichtungen) entdeckt und gemeldet (offengelegt) werden, sollte der Hersteller oder Anbieter von IKT-Produkten oder -Diensten auch Verfahren einführen, damit er von Dritten Informationen über Schwachstellen entgegennehmen kann. Diesbezüglich enthalten die internationalen Normen ISO/IEC 30111 und ISO/IEC 29417 Leitlinien für die Behandlung von Schwachstellen bzw. die Offenlegung von Schwachstellen. Eine stärkere Koordinierung zwischen meldenden Einrichtungen und Herstellern oder Anbietern von IKT-Produkten oder -Diensten ist besonders wichtig, um den freiwilligen Rahmen für die Offenlegung von Schwachstellen attraktiver zu machen. Die koordinierte Offenlegung von Schwachstellen erfolgt in einem strukturierten Prozess, in dem den Organisationen Schwachstellen in einer Weise gemeldet werden, die der Organisation die Diagnose und Behebung der Schwachstelle ermöglicht, bevor detaillierte Informationen über die Schwachstelle an Dritte oder die Öffentlichkeit weitergegeben werden. Die koordinierte Offenlegung von Schwachstellen sollte auch die Koordinierung zwischen der meldenden Einrichtung und der Organisation in Bezug auf den Zeitplan für die Behebung und Veröffentlichung von Schwachstellen umfassen.

Änderungsantrag 30

Vorschlag für eine Richtlinie

Erwägung 28 a (neu)


Vorschlag der Kommission	Geänderter Text
	(28a) Die Kommission, die ENISA und die Mitgliedstaaten sollten die internationale Anpassung an Normen und vorliegende bewährte Verfahren der Branche im Bereich des Risikomanagements weiterhin fördern, beispielsweise in den Bereichen Bewertungen der Sicherheit der Lieferkette, Informationsaustausch und Offenlegung von Schwachstellen.

Änderungsantrag 31

Vorschlag für eine Richtlinie

Erwägung 29


Vorschlag der Kommission	Geänderter Text
(29) Die Mitgliedstaaten sollten daher Maßnahmen ergreifen, um eine koordinierte Offenlegung von Schwachstellen zu erleichtern, indem sie eine einschlägige nationale Strategie festlegen. In diesem Zusammenhang sollten die Mitgliedstaaten ein CSIRT benennen, das die Rolle des „Koordinators“ übernimmt und gegebenenfalls zwischen den meldenden Einrichtungen und den Herstellern oder Anbietern von IKT-Produkten oder -Diensten vermittelt. Zu den Aufgaben des als Koordinator benannten CSIRT sollte insbesondere gehören, betroffene Einrichtungen zu ermitteln und zu kontaktieren, meldende Einrichtungen zu unterstützen, Zeitpläne für die Offenlegung auszuhandeln und das Vorgehen bei Schwachstellen zu koordinieren, die mehrere Organisationen betreffen (Offenlegung von Schwachstellen, die mehrere Parteien betreffen). Betreffen Schwachstellen mehrere Hersteller oder Anbieter von IKT-Produkten oder -Diensten, die in mehr als einem Mitgliedstaat niedergelassen sind, sollten die benannten CSIRTs aus den betroffenen Mitgliedstaaten im Rahmen des CSIRT-Netzwerkes zusammenarbeiten.	(29) Die Mitgliedstaaten sollten daher in Zusammenarbeit mit der ENISA Maßnahmen ergreifen, um eine koordinierte Offenlegung von Schwachstellen zu erleichtern, indem sie eine einschlägige nationale Strategie festlegen. Im Rahmen dieser nationalen Strategie sollten die Mitgliedstaaten auf Probleme eingehen, auf die Forschende, die im Bereich Schwachstellen tätig sind, stoßen. Einrichtungen und natürliche Personen, die Schwachstellen erforschen, können in einigen Mitgliedstaaten unter Umständen strafrechtlich und zivilrechtlich zur Verantwortung gezogen werden. Den Mitgliedstaaten wird daher nahegelegt, Leitlinien für den Verzicht auf Strafverfolgung und die Nichthaftung in Bezug auf Forschung im Bereich der Informationssicherheit herauszugeben.

Änderungsantrag 32

Vorschlag für eine Richtlinie

Erwägung 29 a (neu)


Vorschlag der Kommission	Geänderter Text
	(29a) Die Mitgliedstaaten sollten ein CSIRT benennen, das die Rolle des „Koordinators“ übernimmt und gegebenenfalls zwischen den meldenden Einrichtungen und den Herstellern oder Anbietern von IKT-Produkten oder -Diensten, die wahrscheinlich von der Schwachstelle betroffen sind, vermittelt. Zu den Aufgaben des als Koordinator benannten CSIRT sollte insbesondere gehören, betroffene Einrichtungen zu ermitteln und zu kontaktieren, meldende Einrichtungen zu unterstützen, Zeitpläne für die Offenlegung auszuhandeln und das Vorgehen bei Schwachstellen zu koordinieren, die mehrere Organisationen betreffen (Offenlegung von Schwachstellen, die mehrere Parteien betreffen). Betreffen Schwachstellen mehrere Hersteller oder Anbieter von IKT-Produkten oder -Diensten, die in mehr als einem Mitgliedstaat niedergelassen sind, sollten die benannten CSIRTs aus den betroffenen Mitgliedstaaten im Rahmen des CSIRT-Netzwerkes zusammenarbeiten.

Änderungsantrag 33

Vorschlag für eine Richtlinie

Erwägung 30


Vorschlag der Kommission	Geänderter Text
(30) Der rechtzeitige Zugang zu korrekten Informationen über Schwachstellen, die IKT-Produkte und -Dienste beeinträchtigen, trägt zu einem besseren Cybersicherheitsrisikomanagement bei. In dieser Hinsicht sind öffentlich zugängliche Informationen über Schwachstellen nicht nur für Einrichtungen und deren Nutzer, sondern auch für die zuständigen nationalen Behörden und die CSIRTs ein wichtiges Instrument. Aus diesem Grund sollte die ENISA ein Schwachstellenregister einrichten, in dem wesentliche und wichtige Einrichtungen und deren Anbieter sowie, auf freiwilliger Basis, Einrichtungen, die nicht in den Anwendungsbereich der vorliegenden Richtlinie fallen, Schwachstellen offenlegen und Informationen über die Schwachstellen bereitstellen, die es den Nutzern ermöglichen, geeignete Abhilfemaßnahmen zu ergreifen.	(30) Der rechtzeitige Zugang zu korrekten Informationen über Schwachstellen, die IKT-Produkte und -Dienste beeinträchtigen, trägt zu einem besseren Cybersicherheitsrisikomanagement bei. Öffentlich zugängliche Informationen über Schwachstellen sind nicht nur für Einrichtungen und deren Nutzer, sondern auch für die zuständigen nationalen Behörden und die CSIRTs ein wichtiges Instrument. Aus diesem Grund sollte die ENISA eine Datenbank für Schwachstellen einrichten, in dem wesentliche und wichtige Einrichtungen und deren Anbieter sowie, auf freiwilliger Basis, Einrichtungen, die nicht in den Anwendungsbereich der vorliegenden Richtlinie fallen, Schwachstellen offenlegen und Informationen über die Schwachstellen bereitstellen, die es den Nutzern ermöglichen, geeignete Abhilfemaßnahmen zu ergreifen. Das Ziel dieser Datenbank ist es, die einzigartigen Herausforderungen zu bewältigen, die sich aus den Cybersicherheitsrisiken für europäische Einrichtungen ergeben. Darüber hinaus sollte die ENISA ein Verfahren für den Veröffentlichungsprozess einführen, um den Einrichtungen Zeit zu geben, Maßnahmen zur Behebung ihrer Schwachstellen zu ergreifen und moderne Cybersicherheitsmaßnahmen sowie maschinenlesbare Datensätze und entsprechende Schnittstellen (APIs) einzusetzen. Zur Förderung einer Kultur der Offenlegung von Schwachstellen sollte eine Offenlegung ohne nachteilige Folgen für die meldende Einrichtung erfolgen.

Änderungsantrag 34

Vorschlag für eine Richtlinie

Erwägung 31


Vorschlag der Kommission	Geänderter Text
(31) Es gibt zwar bereits ähnliche Register oder Datenbanken für Schwachstellen, aber diese werden von Einrichtungen betrieben und gepflegt, die nicht in der Union niedergelassen sind. Ein von der ENISA gepflegtes europäisches Schwachstellenregister würde für mehr Transparenz in Bezug auf den Prozess der Veröffentlichung vor der offiziellen Offenlegung der Schwachstelle sorgen und die Resilienz im Falle von Störungen oder Unterbrechungen bei der Erbringung ähnlicher Dienste verbessern. Um Doppelarbeit zu vermeiden und im Interesse der größtmöglichen Komplementarität, sollte die ENISA die Möglichkeit prüfen, Vereinbarungen über eine strukturierte Zusammenarbeit mit ähnlichen Registern in Drittländern zu schließen.	(31) Die von der ENISA gepflegte europäische Datenbank für Schwachstellen sollte das Register „Common Vulnerabilities and Exposures“ (Bekannte Schwachstellen und Anfälligkeiten) nutzen, indem sie dessen Rahmen für die Identifizierung, Verfolgung und Bewertung von Schwachstellen verwendet. Darüber hinaus sollte die ENISA die Möglichkeit prüfen, Vereinbarungen über eine strukturierte Zusammenarbeit mit anderen ähnlichen Registern oder Datenbanken in Drittländern zu schließen, um Doppelarbeit zu vermeiden und Komplementarität anzustreben.

Änderungsantrag 35

Vorschlag für eine Richtlinie

Erwägung 33


Vorschlag der Kommission	Geänderter Text
(33) Bei der Ausarbeitung von Leitfäden sollte die Kooperationsgruppe konsequent nationale Lösungen und Erfahrungen erfassen, die Auswirkungen ihrer Vorgaben auf nationale Ansätze bewerten, Herausforderungen bei der Umsetzung erörtern und spezifische Empfehlungen für eine bessere Umsetzung bestehender Vorschriften formulieren.	(33) Bei der Ausarbeitung von Leitfäden sollte die Kooperationsgruppe konsequent nationale Lösungen und Erfahrungen erfassen, die Auswirkungen ihrer Vorgaben auf nationale Ansätze bewerten, Herausforderungen bei der Umsetzung erörtern und spezifische Empfehlungen für eine bessere Umsetzung bestehender Vorschriften formulieren, insbesondere hinsichtlich der Erleichterung der Angleichung bei der Umsetzung dieser Richtlinie zwischen den Mitgliedstaaten. Die Kooperationsgruppe sollte auch eine Bestandsaufnahme der nationalen Lösungen vornehmen, um die Kompatibilität von Cybersicherheitslösungen zu fördern, die für jeden einzelnen Sektor in der gesamten Union angewandt werden. Dies gilt insbesondere für Sektoren mit internationalem und grenzüberschreitendem Charakter .

Änderungsantrag 36

Vorschlag für eine Richtlinie

Erwägung 34


Vorschlag der Kommission	Geänderter Text
(34) Die Kooperationsgruppe sollte ein flexibles Forum bleiben und in der Lage sein, unter Berücksichtigung der verfügbaren Ressourcen auf sich ändernde und neue politische Prioritäten und Herausforderungen zu reagieren. Sie sollte regelmäßige gemeinsame Sitzungen mit einschlägigen privaten Interessenträgern aus der gesamten Union organisieren, um die Tätigkeiten der Gruppe zu erörtern und Beiträge zu neuen politischen Herausforderungen einzuholen. Um die Zusammenarbeit auf Unionsebene zu verbessern, sollte die Gruppe in Erwägung ziehen, mit Cybersicherheitspolitik befasste Einrichtungen und Agenturen der Union, etwa das Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3), die Agentur der Europäischen Union für Flugsicherheit (EASA) und die Agentur der Europäischen Union für das Weltraumprogramm (EUSPA), zur Teilnahme an ihrer Arbeit einzuladen.	(34) Die Kooperationsgruppe sollte ein flexibles Forum bleiben und in der Lage sein, unter Berücksichtigung der verfügbaren Ressourcen auf sich ändernde und neue politische Prioritäten und Herausforderungen zu reagieren. Sie sollte regelmäßige gemeinsame Sitzungen mit einschlägigen privaten Interessenträgern aus der gesamten Union organisieren, um die Tätigkeiten der Gruppe zu erörtern und Beiträge zu neuen politischen Herausforderungen einzuholen. Um die Zusammenarbeit auf Unionsebene zu verbessern, sollte die Gruppe in Erwägung ziehen, einschlägige, mit Cybersicherheitspolitik befasste Einrichtungen und Agenturen der Union, wie etwa Europol, die Agentur der Europäischen Union für Flugsicherheit (EASA) und die Agentur der Europäischen Union für das Weltraumprogramm (EUSPA), zur Teilnahme an ihrer Arbeit einzuladen.

Änderungsantrag 37

Vorschlag für eine Richtlinie

Erwägung 35


Vorschlag der Kommission	Geänderter Text
(35) Die zuständigen Behörden und CSIRTs sollten befugt sein, an Austauschprogrammen für Bedienstete aus anderen Mitgliedstaaten teilzunehmen, um die Zusammenarbeit zu verbessern. Die zuständigen Behörden sollten Maßnahmen ergreifen, damit die Bediensteten aus anderen Mitgliedstaaten bei den Tätigkeiten der aufnehmenden zuständigen Behörde konstruktiv mitwirken können.	(35) Die zuständigen Behörden und CSIRTs sollten befugt sein, an Austauschprogrammen für Bedienstete aus anderen Mitgliedstaaten teilzunehmen, im Rahmen strukturierter Regeln und Mechanismen, die den Anwendungsbereich und gegebenenfalls die erforderliche Sicherheitsüberprüfung der an solchen Austauschprogrammen teilnehmenden Beamten untermauern, um die Zusammenarbeit zu verbessern und das Vertrauen unter den Mitgliedstaaten zu stärken. Die zuständigen Behörden sollten Maßnahmen ergreifen, damit die Bediensteten aus anderen Mitgliedstaaten bei den Tätigkeiten der aufnehmenden zuständigen Behörde oder des CSIRT konstruktiv mitwirken können.

Änderungsantrag 38

Vorschlag für eine Richtlinie

Erwägung 36


Vorschlag der Kommission	Geänderter Text
(36) Die Union sollte gegebenenfalls internationale Übereinkünfte mit Drittländern oder internationalen Organisationen im Einklang mit Artikel 218 AEUV schließen, in denen deren Beteiligung an bestimmten Tätigkeiten der Kooperationsgruppe und dem CSIRT-Netzwerk ermöglicht und geregelt wird. Solche Übereinkünfte sollten einen angemessenen Datenschutz gewährleisten.	(36) Die Union sollte gegebenenfalls internationale Übereinkünfte mit Drittländern oder internationalen Organisationen im Einklang mit Artikel 218 AEUV schließen, in denen deren Beteiligung an bestimmten Tätigkeiten der Kooperationsgruppe und dem CSIRT-Netzwerk ermöglicht und geregelt wird. Solche Übereinkünfte sollten die Interessen der Union wahren und einen angemessenen Datenschutz gewährleisten. Dies schließt nicht das Recht der Mitgliedstaaten aus, mit gleichgesinnten Drittländern bei der Verwaltung von Schwachstellen und von Cybersicherheitsrisiken zusammenzuarbeiten und die Berichterstattung und den allgemeinen Informationsaustausch im Einklang mit dem Recht der Union zu erleichtern.

Änderungsantrag 39

Vorschlag für eine Richtlinie

Erwägung 38


Vorschlag der Kommission	Geänderter Text
(38) Für die Zwecke der vorliegenden Richtlinie sollte sich der Begriff „Risiko“ auf das Potenzial für Verluste oder Störungen infolge eines Cybersicherheitsvorfalls beziehen und als Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des besagten Sicherheitsvorfalls ausgedrückt werden.	entfällt

Änderungsantrag 40

Vorschlag für eine Richtlinie

Erwägung 39


Vorschlag der Kommission	Geänderter Text
(39) Für die Zwecke der vorliegenden Richtlinie sollte sich der Begriff „Beinahe-Vorfälle“ auf ein Ereignis beziehen, das das Potenzial gehabt hätte, Schäden zu verursachen, dessen vollständiger Eintritt jedoch verhindert wurde.	entfällt

Änderungsantrag 41

Vorschlag für eine Richtlinie

Erwägung 40


Vorschlag der Kommission	Geänderter Text
(40) Das Risikomanagement sollte auch Maßnahmen zur Ermittlung jeder Gefahr eines Sicherheitsvorfalls, zur Verhinderung, Aufdeckung und Bewältigung von Sicherheitsvorfällen sowie der Minderung ihrer Folgen umfassen. Die Sicherheit von Netz- und Informationssystemen sollte sich auch auf gespeicherte, übermittelte und verarbeitete Daten erstrecken.	(40) Das Risikomanagement sollte auch Maßnahmen zur Ermittlung jeder Gefahr von Sicherheitsvorfällen, zu ihrer Verhinderung und Aufdeckung, zur Reaktion auf sie und zur Wiederherstellung nach Sicherheitsvorfällen sowie zur Minderung ihrer Folgen umfassen. Die Sicherheit von Netz- und Informationssystemen sollte sich auch auf gespeicherte, übermittelte und verarbeitete Daten erstrecken. Diese Systeme sollten eine systemische Analyse vorsehen, bei der die verschiedenen Prozesse und die Wechselwirkungen zwischen den Teilsystemen aufgeschlüsselt werden und der menschliche Faktor berücksichtigt wird, um ein vollständiges Bild der Sicherheit des Informationssystems zu erhalten.

Änderungsantrag 42

Vorschlag für eine Richtlinie

Erwägung 41


Vorschlag der Kommission	Geänderter Text
(41) Damit keine unverhältnismäßige finanzielle und administrative Belastung für wesentliche und wichtige Einrichtungen entsteht, sollten die Anforderungen an das Cybersicherheitsrisikomanagement in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist; dabei wird dem bei solchen Maßnahmen geltenden neuesten Stand Rechnung getragen.	(41) Damit keine unverhältnismäßige finanzielle und administrative Belastung für wesentliche und wichtige Einrichtungen entsteht, sollten die Anforderungen an das Cybersicherheitsrisikomanagement in einem angemessenen Verhältnis zu den Risiken stehen, denen das betreffende Netz- und Informationssystem ausgesetzt ist; dabei wird dem bei solchen Maßnahmen geltenden neuesten Stand sowie europäischen oder internationalen Standards, wie etwa ISO31000 und ISA/IEC 27005 Rechnung getragen.

Änderungsantrag 43

Vorschlag für eine Richtlinie

Erwägung 43


Vorschlag der Kommission	Geänderter Text
(43) Besonders wichtig ist die Bewältigung von Cybersicherheitsrisiken, die die Lieferkette von Einrichtungen und deren Beziehungen zu den Lieferanten betreffen, da sich die Vorfälle häufen, bei denen Einrichtungen Opfer von Cyberangriffen werden und es böswilligen Akteuren gelingt, die Sicherheit der Netz- und Informationssysteme zu beeinträchtigen, indem Schwachstellen im Zusammenhang mit den Produkten und Dienstleistungen Dritter ausgenutzt werden. Die Einrichtungen sollten daher die Gesamtqualität der Produkte und Cybersicherheitsverfahren ihrer Lieferanten und Diensteanbieter, einschließlich ihrer sicheren Entwicklungsprozesse, bewerten und berücksichtigen.	(43) Besonders wichtig ist die Bewältigung von Cybersicherheitsrisiken, die die Lieferkette von Einrichtungen und deren Beziehungen zu den Lieferanten, z. B. Anbietern von Datenspeicherungs- und -verarbeitungsdiensten oder von verwalteten Sicherheitsdiensten, betreffen, da sich die Vorfälle häufen, bei denen Einrichtungen Opfer von Angriffen auf Netz- und Informationssysteme werden und es böswilligen Akteuren gelingt, die Sicherheit der Netz- und Informationssysteme zu beeinträchtigen, indem Schwachstellen im Zusammenhang mit den Produkten und Dienstleistungen Dritter ausgenutzt werden. Die Einrichtungen sollten daher die Gesamtqualität und Widerstandsfähigkeit der Produkte und Dienstleistungen, die darin enthaltenen Cybersicherheitsmaßnahmen und die Cybersicherheitsverfahren ihrer Lieferanten und Diensteanbieter, einschließlich ihrer sicheren Entwicklungsprozesse, bewerten und berücksichtigen. Die Einrichtungen sollten insbesondere dazu angehalten werden, Maßnahmen zur Cybersicherheit in die vertraglichen Vereinbarungen mit ihren Lieferanten und Diensteanbietern der ersten Ebene einzubeziehen. Die Einrichtungen könnten auch die Cybersicherheitsrisiken berücksichtigen, die von Lieferanten und Dienstleistern anderer Ebenen ausgehen.

Änderungsantrag 44

Vorschlag für eine Richtlinie

Erwägung 44


Vorschlag der Kommission	Geänderter Text
(44) Unter den Diensteanbietern spielen die Anbieter verwalteter Sicherheitsdienste (Managed Security Services Providers, MSSP) in Bereichen wie Reaktion auf Sicherheitsvorfälle, Penetrationstests, Sicherheitsaudits und Beratung eine überaus wichtige Rolle, indem sie Einrichtungen bei deren Bemühungen um die Erkennung und Bewältigung von Sicherheitsvorfällen unterstützen. Allerdings sind auch die MSSP selbst das Ziel von Cyberangriffen und stellen durch ihre enge Einbindung in die Tätigkeiten der Betreiber ein besonderes Cybersicherheitsrisiko dar. Die Einrichtungen sollten daher bei der Wahl eines MSSP erhöhte Sorgfalt walten lassen.	(44) Unter den Diensteanbietern spielen die Anbieter verwalteter Sicherheitsdienste (Managed Security Services Providers, MSSP) in Bereichen wie Reaktion auf Sicherheitsvorfälle, Penetrationstests, Sicherheitsaudits und Beratung eine überaus wichtige Rolle, indem sie Einrichtungen bei deren Bemühungen um die Verhütung, Erkennung und Bewältigung von Sicherheitsvorfällen sowie die Wiederherstellung nach Sicherheitsvorfällen unterstützen. Allerdings sind auch die MSSP selbst das Ziel von Cyberangriffen und stellen durch ihre enge Einbindung in die Tätigkeiten der Betreiber ein besonderes Cybersicherheitsrisiko dar. Die Einrichtungen sollten daher bei der Wahl eines MSSP erhöhte Sorgfalt walten lassen.

Änderungsantrag 45

Vorschlag für eine Richtlinie

Erwägung 45


Vorschlag der Kommission	Geänderter Text
(45) Die Einrichtungen sollten sich auch mit Cybersicherheitsrisiken befassen, die sich aus ihren Interaktionen und Beziehungen zu anderen interessierten Kreisen in einem weiter gefassten Ökosystem ergeben. Insbesondere sollten die Einrichtungen durch geeignete Maßnahmen sicherstellen, dass ihre Zusammenarbeit mit Hochschul- und Forschungseinrichtungen ihrer Cybersicherheitsstrategie entspricht und dabei bewährte Verfahren befolgt werden, was den sicheren Zugang zu sowie die Verbreitung von Informationen im Allgemeinen und den Schutz des geistigen Eigentums im Besonderen angeht. Auch sollten in Anbetracht der Bedeutung und des Wertes von Daten für die Tätigkeiten der Einrichtungen letztere alle geeigneten Cybersicherheitsmaßnahmen ergreifen, wenn sie die Datenverarbeitungs- und -analysedienste Dritter in Anspruch nehmen.	(45) Die Einrichtungen sollten sich auch mit Cybersicherheitsrisiken befassen, die sich aus ihren Interaktionen und Beziehungen zu anderen interessierten Kreisen in einem weiter gefassten Ökosystem ergeben, unter anderem zur Abwehr von Wirtschaftsspionage und zum Schutz von Geschäftsgeheimnissen. Insbesondere sollten die Einrichtungen durch geeignete Maßnahmen sicherstellen, dass ihre Zusammenarbeit mit Hochschul- und Forschungseinrichtungen ihrer Cybersicherheitsstrategie entspricht und dabei bewährte Verfahren befolgt werden, was den sicheren Zugang zu sowie die Verbreitung von Informationen im Allgemeinen und den Schutz des geistigen Eigentums im Besonderen angeht. Auch sollten in Anbetracht der Bedeutung und des Wertes von Daten für die Tätigkeiten der Einrichtungen letztere alle geeigneten Cybersicherheitsmaßnahmen ergreifen, wenn sie die Datenverarbeitungs- und -analysedienste Dritter in Anspruch nehmen.

Änderungsantrag 46

Vorschlag für eine Richtlinie

Erwägung 45 a (neu)


Vorschlag der Kommission	Geänderter Text
	(45a) Die Einrichtungen sollten sich einer großen Bandbreite grundlegender Praktiken im Bereich der Cyberhygiene bedienen, wie Null-Vertrauen-Architektur, Software-Updates, Gerätekonfiguration, Netzwerksegmentierung, Identitäts- und Zugangsmanagement oder Nutzerbewusstsein sowie Schulungen zu Cyberbedrohungen im Zusammenhang mit E-Mails in Unternehmen, Phishing oder Social Engineering. Außerdem sollten die Einrichtungen ihre eigenen Cybersicherheitskapazitäten bewerten und gegebenenfalls die Integration von Technologien zur Verbesserung der Cybersicherheit anstreben, die von künstlicher Intelligenz oder maschinellen Lernsystemen gestützt werden, um ihre Kapazitäten und den Schutz von Netzwerkarchitekturen zu automatisieren.

Änderungsantrag 47

Vorschlag für eine Richtlinie

Erwägung 46


Vorschlag der Kommission	Geänderter Text
(46) Um die Hauptrisiken für die Lieferkette weiter anzugehen und den Einrichtungen in den unter diese Richtlinie fallenden Sektoren dabei zu helfen, Cybersicherheitsrisiken in Bezug auf die Lieferkette und die Lieferanten angemessen zu beherrschen, sollte die Kooperationsgruppe, an der die einschlägigen nationalen Behörden beteiligt sind, in Zusammenarbeit mit der Kommission und der ENISA koordinierte sektorenbezogene Lieferketten-Risikobewertungen – wie im Fall der 5G-Netze gemäß der einschlägigen Empfehlung (EU) 2019/53421 – durchführen, um für jeden Sektor die kritischen IKT-Dienste, -Systeme oder -Produkte sowie relevante Bedrohungen und Schwachstellen zu ermitteln.	(46) Um die Hauptrisiken für die Lieferkette weiter anzugehen und den Einrichtungen in den unter diese Richtlinie fallenden Sektoren dabei zu helfen, Cybersicherheitsrisiken in Bezug auf die Lieferkette und die Lieferanten angemessen zu beherrschen, sollte die Kooperationsgruppe, an der die einschlägigen nationalen Behörden beteiligt sind, in Zusammenarbeit mit der Kommission und der ENISA koordinierte Lieferketten-Risikobewertungen – wie im Fall der 5G-Netze gemäß der einschlägigen Empfehlung (EU) 2019/53421 – durchführen, um für jeden Sektor die kritischen IKT- und IKS-Dienste, -Systeme oder -Produkte sowie relevante Bedrohungen und Schwachstellen zu ermitteln. Bei solchen Risikobewertungen sollten Maßnahmen, Pläne zur Risikominderung und bewährte Verfahren gegen kritische Abhängigkeiten, potenzielle einzelne Fehlerquellen, Bedrohungen, Schwachstellen und andere Risiken im Zusammenhang mit der Lieferkette ermittelt werden, und es sollte nach Möglichkeiten gesucht werden, ihre breitere Anwendung durch die Einrichtungen zu fördern. Zu den potenziellen nichttechnischen Risikofaktoren wie ungebührlicher Einflussnahme eines Drittlandes auf Lieferanten und Diensteanbieter, insbesondere im Fall von alternativen Governance-Modellen, zählen versteckte Schwachstellen oder Hintertüren sowie potenzielle systemische Versorgungsunterbrechungen, insbesondere im Fall von Zwangsbindungen an bestimmte Technologien oder Anbieter.
__________________	__________________
21 (EU) 2019/534 der Kommission vom 26. März 2019 Cybersicherheit der 5G-Netze (ABl. L 88 vom 29.3.2019, S. 42).	21 (EU) 2019/534 der Kommission vom 26. März 2019 Cybersicherheit der 5G-Netze (ABl. L 88 vom 29.3.2019, S. 42).

Änderungsantrag 48

Vorschlag für eine Richtlinie

Erwägung 47


Vorschlag der Kommission	Geänderter Text
(47) Bei den Lieferketten-Risikobewertungen unter Berücksichtigung der Besonderheiten des jeweiligen Sektors sollte sowohl technischen wie auch gegebenenfalls nichttechnischen Faktoren Rechnung getragen werden, einschließlich derer, die in der Empfehlung (EU) 2019/534, in der EU-weit koordinierten Risikobewertung zur Cybersicherheit in 5G-Netzen sowie in dem von der Kooperationsgruppe vereinbarten EU-Instrumentarium für die 5G-Cybersicherheit definiert sind. Bei der Ermittlung der Lieferketten, die einer koordinierten Risikobewertung unterzogen werden sollten, sollten folgende Kriterien berücksichtigt werden: (i) der Umfang, in dem wesentliche und wichtige Einrichtungen bestimmte kritische IKT-Dienste, -Systeme oder -Produkte nutzen und auf sie angewiesen sind; (ii) die Bedeutung bestimmter kritischer IKT-Dienste, -Systeme oder -Produkte für die Ausführung kritischer oder sensibler Funktionen, einschließlich der Verarbeitung personenbezogener Daten; iii) die Verfügbarkeit alternativer IKT-Dienste, -Systeme oder -Produkte; iv) die Resilienz der gesamten Lieferkette von IKT-Diensten, -Systemen oder -Produkten gegen destabilisierende Ereignisse und v) die potenzielle künftige Bedeutung neuer IKT-Dienste, -Systeme oder -Produkte für die Tätigkeiten der Einrichtungen.	(47) Bei den Lieferketten-Risikobewertungen unter Berücksichtigung der Besonderheiten des jeweiligen Sektors sollte sowohl technischen wie auch gegebenenfalls nichttechnischen Faktoren Rechnung getragen werden, einschließlich derer, die in der Empfehlung (EU) 2019/534, in der EU-weit koordinierten Risikobewertung zur Cybersicherheit in 5G-Netzen sowie in dem von der Kooperationsgruppe vereinbarten EU-Instrumentarium für die 5G-Cybersicherheit definiert sind. Bei der Ermittlung der Lieferketten, die einer koordinierten Risikobewertung unterzogen werden sollten, sollten folgende Kriterien berücksichtigt werden: i) der Umfang, in dem wesentliche und wichtige Einrichtungen bestimmte kritische IKT-Dienste, -Systeme oder -Produkte nutzen und auf sie angewiesen sind; ii) die Bedeutung bestimmter kritischer IKT-Dienste, -Systeme oder -Produkte für die Ausführung kritischer oder sensibler Funktionen, einschließlich der Verarbeitung personenbezogener Daten; iii) die Verfügbarkeit alternativer IKT-Dienste, -Systeme oder -Produkte; iv) die Resilienz der gesamten Lieferkette von IKT-Diensten, -Systemen oder -Produkten während ihres gesamten Lebenszyklus gegen destabilisierende Ereignisse und v) die potenzielle künftige Bedeutung neuer IKT-Dienste, -Systeme oder -Produkte für die Tätigkeiten der Einrichtungen. Besonderes Augenmerk sollte auf IKT-Dienstleistungen, -Systeme oder -Produkte gelegt werden, die speziellen Anforderungen unterliegen, die von Drittländern stammen.

Änderungsantrag 49

Vorschlag für eine Richtlinie

Erwägung 47 a (neu)


Vorschlag der Kommission	Geänderter Text
	(47a) Die gemäß Artikel 22 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates1a eingesetzte Gruppe der Interessenträger für die Cybersicherheitszertifizierung sollte eine Stellungnahme zu Sicherheitsrisikobewertungen bestimmter kritischer IKT- und IKS-Dienste, -Systeme oder -Produktlieferketten abgeben. Die Kooperationsgruppe und die ENISA sollten dieser Stellungnahme Rechnung tragen.
	__________________
	1a Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15).

Änderungsantrag 50

Vorschlag für eine Richtlinie

Erwägung 50


Vorschlag der Kommission	Geänderter Text
(50) Angesichts der wachsenden Bedeutung nummernunabhängiger interpersoneller Kommunikationsdienste muss sichergestellt werden, dass auch für diese Dienste angemessene Sicherheitsanforderungen entsprechend ihrer spezifischen Art und wirtschaftlichen Bedeutung gelten. Die Anbieter solcher Dienste sollten daher auch ein Sicherheitsniveau von Netz- und Informationssystemen gewährleisten, das dem bestehenden Risiko angemessen ist. Da die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste üblicherweise keine tatsächliche Kontrolle über die Signalübertragung über Netze ausüben, kann das Risiko für solche Dienste in gewisser Hinsicht als geringer erachtet werden als für herkömmliche elektronische Kommunikationsdienste. Dasselbe gilt auch für interpersonelle Kommunikationsdienste, die Nummern nutzen und die keine tatsächliche Kontrolle über die Signalübertragung ausüben.	(50) Angesichts der wachsenden Bedeutung nummernunabhängiger interpersoneller Kommunikationsdienste muss sichergestellt werden, dass auch für diese Dienste angemessene Sicherheitsanforderungen entsprechend ihrer spezifischen Art und wirtschaftlichen Bedeutung gelten. Die Anbieter solcher Dienste sollten daher auch ein Sicherheitsniveau von Netz- und Informationssystemen gewährleisten, das dem bestehenden Risiko angemessen ist. Da die Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste üblicherweise keine tatsächliche Kontrolle über die Signalübertragung über Netze ausüben, kann das Risiko der Netzsicherheit für solche Dienste in gewisser Hinsicht als geringer erachtet werden als für herkömmliche elektronische Kommunikationsdienste. Dasselbe gilt auch für interpersonelle Kommunikationsdienste, die Nummern nutzen und die keine tatsächliche Kontrolle über die Signalübertragung ausüben. Da sich die Angriffsfläche jedoch immer weiter vergrößert, werden nummernunabhängige interpersonelle Kommunikationsdienste, darunter auch Messenger der sozialen Medien, zu beliebten Angriffsvektoren. Böswillige Akteure nutzen Plattformen, um zu kommunizieren und Opfer zum Öffnen kompromittierter Webseiten zu verleiten, wodurch sich die Wahrscheinlichkeit von Vorfällen erhöht, bei denen persönliche Daten verwertet und damit die Sicherheit von Informationssystemen ausgenutzt wird.

Änderungsantrag 51

Vorschlag für eine Richtlinie

Erwägung 51


Vorschlag der Kommission	Geänderter Text
(51) Das Funktionieren des Internets ist für den Binnenmarkt wichtiger denn je. Die Dienstleistungen praktisch aller wesentlichen und wichtigen Einrichtungen hängen ihrerseits von Diensten ab, die über das Internet erbracht werden. Für die reibungslose Bereitstellung von Diensten wesentlicher und wichtiger Einrichtungen ist es wichtig, dass für öffentliche elektronische Kommunikationsnetze, z. B. Internet-Backbone- oder Seekabel, geeignete Cybersicherheitsmaßnahmen bestehen und diesbezügliche Sicherheitsvorfälle gemeldet werden.	(51) Das Funktionieren des Internets ist für den Binnenmarkt wichtiger denn je. Die Dienstleistungen praktisch aller wesentlichen und wichtigen Einrichtungen hängen ihrerseits von Diensten ab, die über das Internet erbracht werden. Für die reibungslose Bereitstellung von Diensten wesentlicher und wichtiger Einrichtungen ist es wichtig, dass für alle öffentlichen elektronischen Kommunikationsnetze, z. B. Internet-Backbone- oder Seekabel, geeignete Cybersicherheitsmaßnahmen bestehen und diesbezügliche erhebliche Sicherheitsvorfälle gemeldet werden. Die Mitgliedstaaten sollten sicherstellen, dass die Integrität und Verfügbarkeit dieser öffentlichen elektronischen Kommunikationsnetze aufrechterhalten wird, und sie sollten ihren Schutz vor Sabotage und Spionage als eine Frage von vitalem Sicherheitsinteresse betrachten. Informationen über Vorfälle, z. B. bei unterseeischen Kommunikationskabeln, sollten zwischen den Mitgliedstaaten aktiv ausgetauscht werden.

Änderungsantrag 52

Vorschlag für eine Richtlinie

Erwägung 52


Vorschlag der Kommission	Geänderter Text
(52) Gegebenenfalls sollten die Einrichtungen die Empfänger ihrer Dienste über besondere und erhebliche Bedrohungen sowie über Maßnahmen informieren, die sie ergreifen können, um das sich daraus ergebende Risiko für sich selbst zu mindern. Die Verpflichtung zur Information der Empfänger über solche Bedrohungen sollte die Einrichtungen nicht von der Pflicht befreien, auf eigene Kosten angemessene Sofortmaßnahmen zu ergreifen, um jedwede Cyberbedrohung zu verhüten oder zu beseitigen und das normale Sicherheitsniveau des Dienstes wiederherzustellen. Die Bereitstellung solcher Informationen über Sicherheitsbedrohungen sollte für die Empfänger kostenlos sein.	(52) Gegebenenfalls sollten die Einrichtungen die Empfänger ihrer Dienste über besondere und erhebliche Bedrohungen sowie über Maßnahmen informieren, die sie ergreifen können, um das sich daraus ergebende Risiko für sich selbst zu mindern. Dadurch sollten die Einrichtungen nicht von der Pflicht befreit werden, auf eigene Kosten angemessene Sofortmaßnahmen zu ergreifen, um jedwede Cyberbedrohung zu verhüten oder zu beseitigen und das normale Sicherheitsniveau des Dienstes wiederherzustellen. Die Bereitstellung solcher Informationen über Sicherheitsbedrohungen für die Empfänger sollte kostenlos sein, und die Informationen sollten in leicht verständlicher Sprache abgefasst werden.

Änderungsantrag 53

Vorschlag für eine Richtlinie

Erwägung 53


Vorschlag der Kommission	Geänderter Text
(53) Insbesondere sollten die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste die Empfänger der Dienste über besondere und erhebliche Cyberbedrohungen sowie über Maßnahmen zum Schutz von Kommunikationsinhalten, die sie treffen können, informieren, z. B. den Einsatz spezieller Software oder von Verschlüsselungsverfahren.	(53) Die Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste sollten Sicherheit durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen implementieren und die Empfänger der Dienste über besondere und erhebliche Cyberbedrohungen sowie über Maßnahmen zum Schutz von Kommunikationsinhalten, die sie treffen können, informieren, z. B. den Einsatz spezieller Verschlüsselungssoftware oder anderer datenzentrierter Sicherheitstechnologien.

Änderungsantrag 54

Vorschlag für eine Richtlinie

Erwägung 54


Vorschlag der Kommission	Geänderter Text
(54) Zur Aufrechterhaltung der Sicherheit elektronischer Kommunikationsnetze und -dienste sollte die Verschlüsselung, insbesondere von Ende zu Ende, gefördert werden; erforderlichenfalls sollte sie für die Anbieter solcher Dienste und Netze im Einklang mit den Grundsätzen der Sicherheit und des Schutzes der Privatsphäre mittels datenschutzfreundlicher Voreinstellungen und Technikgestaltung für die Zwecke des Artikels 18 vorgeschrieben werden. Die Nutzung der End-zu-End-Verschlüsselung sollte mit den Befugnissen der Mitgliedstaaten, den Schutz ihrer wesentlichen Sicherheitsinteressen und der öffentlichen Sicherheit zu gewährleisten und die Ermittlung, Aufdeckung und Verfolgung von Straftaten im Einklang mit dem Unionsrecht zu ermöglichen, in Einklang gebracht werden. Lösungen für den rechtmäßigen Zugang zu Informationen in End-zu-End-verschlüsselter Kommunikation sollten die Wirksamkeit der Verschlüsselung beim Schutz der Privatsphäre und der Sicherheit der Kommunikation aufrechterhalten und zugleich eine wirksame Reaktion auf Straftaten gewährleisten.	(54) Zur Aufrechterhaltung der Sicherheit elektronischer Kommunikationsnetze und -dienste sollte die Verschlüsselung und anderer datenzentrierter Sicherheitstechnologien, wie Tokenisierung, Segmentierung, Zugriffsdrosselung, Markierung, Kennzeichnung, starkes Identitäts- und Zugriffsmanagement und automatische Zugriffsentscheidungen, gefördert werden; erforderlichenfalls sollte sie für die Anbieter solcher Dienste und Netze im Einklang mit den Grundsätzen der Sicherheit und des Schutzes der Privatsphäre mittels datenschutzfreundlicher Voreinstellungen und Technikgestaltung für die Zwecke des Artikels 18 vorgeschrieben werden. Die Nutzung der End-zu-End-Verschlüsselung sollte mit den Befugnissen der Mitgliedstaaten, den Schutz ihrer wesentlichen Sicherheitsinteressen und der öffentlichen Sicherheit zu gewährleisten und die Ermittlung, Aufdeckung und Verfolgung von Straftaten im Einklang mit dem Unionsrecht zu ermöglichen, in Einklang gebracht werden. Dies sollte jedoch nicht zu einer Schwächung der End-zu-End-Verschlüsselung führen, die eine entscheidende Technologie für einen wirksamen Datenschutz und den Schutz der Privatsphäre ist.

Änderungsantrag 55

Vorschlag für eine Richtlinie

Erwägung 54 a (neu)


Vorschlag der Kommission	Geänderter Text
	(54a) Um die Sicherheit zu gewährleisten und den Missbrauch und die Manipulation elektronischer Kommunikationsnetze und -dienste zu verhindern, sollte die Verwendung interoperabler sicherer Routing-Standards gefördert werden, um die Integrität und Robustheit der Routing-Funktionen im gesamten Ökosystem der Internetbetreiber sicherzustellen.

Änderungsantrag 56

Vorschlag für eine Richtlinie

Erwägung 54 b (neu)


Vorschlag der Kommission	Geänderter Text
	(54b) Um die Funktionalität und Integrität des Internets zu wahren und Sicherheitsprobleme im Zusammenhang mit dem DNS zu verringern, sollten die einschlägigen Akteure, einschließlich der Unternehmen in der Union, der Internet-Diensteanbieter und der Browser-Anbieter, dazu angehalten werden, eine Strategie zur Diversifizierung der DNS-Auflösung zu verfolgen. Außerdem sollten die Mitgliedstaaten die Entwicklung und Nutzung eines öffentlichen und sicheren europäischen DNS-Auflösungsdienstes fördern.

Änderungsantrag 57

Vorschlag für eine Richtlinie

Erwägung 55


Vorschlag der Kommission	Geänderter Text
(55) Mit dieser Richtlinie wird ein zweistufiger Ansatz für die Meldung von Sicherheitsvorfällen festgelegt, um die richtige Balance herzustellen zwischen einer zeitnahen Meldung einerseits, die einer potenziellen Ausbreitung von Sicherheitsvorfällen entgegenwirkt und den Einrichtungen die Möglichkeit gibt, Unterstützung zu erhalten, und einer detaillierten Meldung andererseits, bei der aus individuellen Sicherheitsvorfällen wichtige Lehren gezogen werden und einzelne Unternehmen und ganze Sektoren ihre Resilienz gegenüber Cyberbedrohungen im Laufe der Zeit verbessern können. Erhalten Einrichtungen Kenntnis von einem Sicherheitsvorfall, sollten sie innerhalb von 24 Stunden eine erste Meldung übermitteln und spätestens einen Monat danach einen Abschlussbericht vorlegen müssen. Die Erstmeldung sollte nur die Informationen enthalten, die unbedingt erforderlich sind, um die zuständigen Behörden über den Sicherheitsvorfall zu unterrichten und es der Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. Gegebenenfalls sollte aus dieser Meldung hervorgehen, ob der Sicherheitsvorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist. Die Mitgliedstaaten sollten sicherstellen, dass durch die Pflicht zur Übermittlung dieser Erstmeldung die Ressourcen der meldenden Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen, die Vorrang haben sollten, nicht beeinträchtigt werden. Zur weiteren Verhinderung, dass die Meldepflichten für Sicherheitsvorfälle entweder zulasten der Ressourcen gehen, auf solche Vorfälle zu reagieren, oder entsprechende Anstrengungen der Einrichtungen anderweitig beeinträchtigt werden, sollten die Mitgliedstaaten auch vorsehen, dass die betreffende Einrichtung in hinreichend begründeten Fällen und im Einvernehmen mit den zuständigen Behörden oder dem CSIRT von der Frist von 24 Stunden für die Erstmeldung bzw. einem Monat für den Abschlussbericht abweichen kann.	(55) Mit dieser Richtlinie wird ein zweistufiger Ansatz für die Meldung von Sicherheitsvorfällen festgelegt, um die richtige Balance herzustellen zwischen einer zeitnahen Meldung einerseits, die einer potenziellen Ausbreitung von Sicherheitsvorfällen entgegenwirkt und den Einrichtungen die Möglichkeit gibt, Unterstützung zu erhalten, und einer detaillierten Meldung andererseits, bei der aus individuellen Sicherheitsvorfällen wichtige Lehren gezogen werden und einzelne Unternehmen und ganze Sektoren ihre Resilienz gegenüber Cyberbedrohungen im Laufe der Zeit verbessern können. Erhalten Einrichtungen Kenntnis von einem Sicherheitsvorfall, sollten sie innerhalb von 72 Stunden eine erste Meldung übermitteln und spätestens einen Monat nach der ersten Meldung einen umfassenden Bericht vorlegen müssen. Der Zeitplan für die erste Meldung eines Sicherheitsvorfalls sollte Einrichtungen nicht daran hindern, Vorfälle früher zu melden, so dass sie rasch Unterstützung von CSIRTs anfordern können, um den gemeldeten Sicherheitsvorfall einzudämmen und seine mögliche Ausbreitung zu verhindern. CSIRTs können einen Zwischenbericht über relevante Statusaktualisierungen anfordern und dabei die Reaktions- und Abhilfemaßnahmen der meldenden Einrichtung berücksichtigen.

Änderungsantrag 58

Vorschlag für eine Richtlinie

Erwägung 55 a (neu)


Vorschlag der Kommission	Geänderter Text
	(55a) Ein erheblicher Sicherheitsvorfall kann Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit des Dienstes haben. Wesentliche und wichtige Einrichtungen sollten die CSIRTs innerhalb von 24 Stunden nach Bekanntwerden des Sicherheitsvorfalls über erhebliche Sicherheitsvorfälle informieren, die sich auf die Verfügbarkeit ihrer Dienste auswirken. Sie sollten die CIRTs innerhalb von 72 Stunden nach Bekanntwerden über erhebliche Sicherheitsvorfälle informieren, die die Vertraulichkeit und Integrität ihrer Dienste beeinträchtigen. Die Unterscheidung zwischen den Arten von Vorfällen beruht nicht auf der Schwere des Sicherheitsvorfalls, sondern darauf, wie schwierig es für die meldende Einrichtung ist, den Sicherheitsvorfall zu bewerten, seine Bedeutung einzuschätzen und Informationen zu melden, die für das CSIRT von Nutzen sein können. Die erste Meldung sollte die Informationen enthalten, die erforderlich sind, um das CSIRT über den Sicherheitsvorfall zu unterrichten und es der Einrichtung zu ermöglichen, bei Bedarf Hilfe in Anspruch zu nehmen. Die Mitgliedstaaten sollten sicherstellen, dass durch die Pflicht zur Übermittlung dieser Erstmeldung die Ressourcen der meldenden Einrichtung für Tätigkeiten im Zusammenhang mit der Bewältigung von Sicherheitsvorfällen, die Vorrang haben sollten, nicht beeinträchtigt werden. Zur weiteren Verhinderung, dass die Meldepflichten für Sicherheitsvorfälle entweder zulasten der Ressourcen gehen, auf solche Vorfälle zu reagieren, oder entsprechende Anstrengungen der Einrichtungen anderweitig beeinträchtigt werden, sollten die Mitgliedstaaten auch vorsehen, dass die betreffende Einrichtung in hinreichend begründeten Fällen und im Einvernehmen mit dem CSIRT von der Frist für die erste Meldung bzw. für den umfassenden Bericht abweichen kann.

Änderungsantrag 59

Vorschlag für eine Richtlinie

Erwägung 59


Vorschlag der Kommission	Geänderter Text
(59) Die Pflege genauer und vollständiger Datenbanken mit Domänennamen und Registrierungsdaten (sogenannte „WHOIS-Daten“) und ein rechtmäßiger Zugang zu diesen Daten sind entscheidend, um die Sicherheit, Stabilität und Resilienz des DNS zu gewährleisten, was wiederum zu einem hohen gemeinsamen Cybersicherheitsniveau in der Union beiträgt. Werden auch personenbezogene Daten verarbeitet, so muss diese Verarbeitung mit dem EU-Datenschutzrecht im Einklang stehen.	(59) Die Pflege genauer, überprüfter und vollständiger Datenbanken mit Domänennamen und Registrierungsdaten (sogenannte „WHOIS-Daten“) sind entscheidend, um die Sicherheit, Stabilität und Resilienz des DNS zu gewährleisten, was wiederum zu einem hohen gemeinsamen Cybersicherheitsniveau in der Union beiträgt, und um illegale Tätigkeiten zu bekämpfen. TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten daher verpflichtet werden, Domänennamen-Registrierungsdaten zu erfassen, die zumindest den Namen der Registranten, ihre Anschrift, ihre E-Mail-Adresse und ihre Telefonnummer enthalten sollten. In der Praxis sind die gesammelten Daten möglicherweise nicht immer ganz genau, doch sollten TLD-Register und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, angemessene Verfahren einführen und umsetzen um zu überprüfen, ob natürliche oder juristische Personen, die einen Domänennamen beantragen oder besitzen, Kontaktdaten angegeben haben, unter denen sie erreichbar sind und bei deren Verwendung erwartet werden kann, dass sie antworten. Diese Überprüfungsverfahren sollten nach dem Konzept des „ihr Möglichstes tun“ die derzeit in der Branche verwendeten bewährten Verfahren widerspiegeln. Diese bewährten Verfahren im Überprüfungsprozess sollten den Fortschritten bei dem Prozess der elektronischen Identifizierung Rechnung tragen. Die TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten ihre Strategien und Verfahren zur Gewährleistung der Integrität und Verfügbarkeit der Domänennamen-Registrierungsdaten öffentlich zugänglich machen. Werden auch personenbezogene Daten verarbeitet, so muss diese Verarbeitung mit dem EU-Datenschutzrecht im Einklang stehen.

Änderungsantrag 60

Vorschlag für eine Richtlinie

Erwägung 60


Vorschlag der Kommission	Geänderter Text
(60) Die Verfügbarkeit und zeitnahe Zugänglichkeit dieser Daten für Behörden, einschließlich der nach Unionsrecht oder nationalem Recht für die Verhütung, Ermittlung oder Verfolgung von Straftaten zuständigen Behörden, CERTs, CSIRTs und – soweit es die Daten ihrer Kunden betrifft – Anbietern elektronischer Kommunikationsnetze und -dienste sowie Anbietern von Cybersicherheitstechnologien und -diensten, die im Namen dieser Kunden tätig sind, ist von wesentlicher Bedeutung, um Missbrauch des Domänennamensystems abzuwenden und zu bekämpfen und insbesondere Cybersicherheitsvorfällen vorzubeugen, sie zu erkennen und zu bewältigen. Dieser Zugang sollte, soweit personenbezogene Daten betroffen sind, mit dem EU-Datenschutzrecht im Einklang stehen.	(60) Die Verfügbarkeit und zeitnahe Zugänglichkeit dieser Domänennamen-Registrierungsdaten für berechtigte Zugangsnachfrager ist für die Cybersicherheit und die Bekämpfung illegaler Aktivitäten im Online-Ökosystem unerlässlich. TLD-Register und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten daher verpflichtet werden, berechtigten Zugangsnachfragern im Einklang mit dem Datenschutzrecht der Union rechtmäßigen Zugang zu bestimmten Domänennamen-Registrierungsdaten, einschließlich personenbezogener Daten, zu gewähren. Berechtigte Zugangsnachfrager sollten einen hinreichend begründeten Antrag auf Zugang zu Domänennamen-Registrierungsdaten auf der Grundlage des Unionsrechts oder des nationalen Rechts stellen und könnten die nach Unionsrecht oder nationalem Recht für die Verhütung, Ermittlung oder Verfolgung von Straftaten zuständigen Behörden sowie nationale CERTs oder CSIRTs sein. Die Mitgliedstaaten sollten sicherstellen, dass TLD-Register und Stellen, die Domänennamen-Registrierungsdienste erbringen, unverzüglich und in jedem Fall innerhalb von 72 Stunden auf Anträge von rechtmäßigen Antragstellern auf Offenlegung von Domänennamen-Registrierungsdaten reagieren sollten. TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten Grundsätze und Verfahren für die Veröffentlichung und Offenlegung von Registrierungsdaten festlegen, einschließlich Leistungsvereinbarungen für die Bearbeitung von Anträgen berechtigter Zugangsnachfrager. Das Zugangsverfahren kann auch die Verwendung einer Schnittstelle, eines Portals oder anderer technischer Instrumente umfassen, um ein effizientes System für die Anforderung von und den Zugriff auf Registrierungsdaten bereitzustellen. Zur Förderung einheitlicher Verfahren für den gesamten Binnenmarkt kann die Kommission unbeschadet der Zuständigkeiten des Europäischen Datenschutzausschusses Leitlinien zu solchen Verfahren erlassen.

Änderungsantrag 61

Vorschlag für eine Richtlinie

Erwägung 61


Vorschlag der Kommission	Geänderter Text
(61) Zur Gewährleistung der Verfügbarkeit genauer und vollständiger Domänennamen-Registrierungsdaten sollten die TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste für die TLD erbringen (sogenannte Registrierstellen), die Integrität und Verfügbarkeit von Domänennamen-Registrierungsdaten erfassen und garantieren. Insbesondere sollten die TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste für die TLD erbringen, Grundsätze und Verfahren festlegen, um im Einklang mit den EU-Datenschutzvorschriften genaue und vollständige Registrierungsdaten zu erfassen und zu pflegen sowie unrichtige Registrierungsdaten zu verhindern bzw. zu berichtigen.	entfällt

Änderungsantrag 62

Vorschlag für eine Richtlinie

Erwägung 62


Vorschlag der Kommission	Geänderter Text
(62) TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste für sie erbringen, sollten Domänennamen-Registrierungsdaten, die nicht den EU-Datenschutzvorschriften unterliegen, z. B. Daten, die juristische Personen betreffen25, öffentlich zugänglich machen. TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste für die TLD erbringen, sollten es auch ermöglichen, dass berechtigte Zugangsnachfrager rechtmäßigen Zugang zu bestimmten Domänennamen-Registrierungsdaten natürlicher Personen im Einklang mit dem EU-Datenschutzrecht erhalten. Die Mitgliedstaaten sollten sicherstellen, dass TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste für sie erbringen, Anträge berechtigter Zugangsnachfrager auf Offenlegung von Domänennamen-Registrierungsdaten unverzüglich beantworten. TLD-Register und die Einrichtungen, die Domänennamen-Registrierungsdienste für sie erbringen, sollten Grundsätze und Verfahren für die Veröffentlichung und Offenlegung von Registrierungsdaten festlegen, einschließlich Leistungsvereinbarungen für die Bearbeitung von Anträgen berechtigter Zugangsnachfrager. Das Zugangsverfahren kann auch die Verwendung einer Schnittstelle, eines Portals oder eines anderen technischen Instruments umfassen, um ein effizientes System für die Anforderung von und den Zugriff auf Registrierungsdaten bereitzustellen. Zur Förderung einheitlicher Verfahren für den gesamten Binnenmarkt kann die Kommission unbeschadet der Zuständigkeiten des Europäischen Datenschutzausschusses Leitlinien zu solchen Verfahren erlassen.	(62) TLD-Register und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, sollten verpflichtet werden, die Registrierungsdaten, die keine personenbezogenen Daten enthalten, öffentlich zugänglich zu machen. Es sollte zwischen natürlichen und juristischen Personen unterschieden werden25. Bei juristischen Personen sollten TLD-Register und Einrichtungen zumindest den Namen des Registranten, seine physische und seine E-Mail-Adresse sowie seine Telefonnummer öffentlich zugänglich machen. Von der juristischen Person sollte verlangt werden, dass sie entweder eine allgemeine E-Mail-Adresse angibt, die öffentlich zugänglich gemacht werden kann, oder dass sie der Veröffentlichung einer persönlichen E-Mail-Adresse zustimmt. Die juristische Person sollte in der Lage sein, diese Zustimmung auf Anforderung durch TLD-Register und Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, nachzuweisen.
__________________	__________________
25 Erwägungsgrund 14 der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES: „Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“	25 Erwägungsgrund 14 der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES: „Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“

Änderungsantrag 63

Vorschlag für eine Richtlinie

Erwägung 63


Vorschlag der Kommission	Geänderter Text
(63) Alle wesentlichen und wichtigen Einrichtungen, die unter diese Richtlinie fallen, sollten der gerichtlichen Zuständigkeit des Mitgliedstaats unterliegen, in dem sie ihre Dienste erbringen. Erbringt die Einrichtung Dienste in mehreren Mitgliedstaaten, so sollte sie unter die getrennte und parallele gerichtliche Zuständigkeit der betreffenden Mitgliedstaaten fallen. Die zuständigen Behörden dieser Mitgliedstaaten sollten zusammenarbeiten, einander Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtstätigkeiten durchführen.	(63) Alle wesentlichen und wichtigen Einrichtungen, die unter diese Richtlinie fallen, sollten der gerichtlichen Zuständigkeit des Mitgliedstaats unterliegen, in dem sie ihre Dienste erbringen oder ihre Tätigkeiten ausüben. Erbringt die Einrichtung Dienste in mehreren Mitgliedstaaten, so sollte sie unter die getrennte und parallele gerichtliche Zuständigkeit der betreffenden Mitgliedstaaten fallen. Die zuständigen Behörden dieser Mitgliedstaaten sollten zusammenarbeiten, einander Amtshilfe leisten und gegebenenfalls gemeinsame Aufsichtstätigkeiten durchführen.

Änderungsantrag 64

Vorschlag für eine Richtlinie

Erwägung 64


Vorschlag der Kommission	Geänderter Text
(64) Da die Dienste und Tätigkeiten, die von DNS-Diensteanbietern, TLD-Namenregistern, Betreibern von Inhaltszustellnetzen, Anbietern von Cloud-Computing-Diensten sowie Anbietern von Rechenzentrumsdiensten und Anbietern digitaler Dienste erbracht werden, grenzübergreifenden Charakter haben, sollte jeweils immer nur ein Mitgliedstaat für diese Einrichtungen zuständig sein. Die gerichtliche Zuständigkeit sollte bei dem Mitgliedstaat liegen, in dem die betreffende Einrichtung ihre Hauptniederlassung in der Union hat. Das Kriterium der Niederlassung im Sinne dieser Richtlinie setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei unerheblich. Dieses Kriterium sollte nicht davon abhängen, ob die Netz- und Informationssysteme an einem bestimmten Ort physisch untergebracht sind; die Existenz und die Nutzung derartiger Systeme stellen an sich keine derartige Hauptniederlassung dar und sind daher kein ausschlaggebendes Kriterium für die Bestimmung der Hauptniederlassung. Die Hauptniederlassung sollte der Ort sein, an dem in der Union über Maßnahmen des Cybersicherheitsrisikomanagements entschieden wird. In der Regel entspricht dies dem Ort, an dem sich die Hauptverwaltung der Unternehmen in der Union befindet. Werden solche Entscheidungen nicht in der Union getroffen, sollte davon ausgegangen werden, dass sich die Hauptniederlassung in dem Mitgliedstaat befindet, in dem die Einrichtung über eine Niederlassung mit der unionsweit höchsten Beschäftigtenzahl verfügt. Werden die Dienste von einer Unternehmensgruppe ausgeführt, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten.	(64) Da die Dienste und Tätigkeiten, die von DNS-Diensteanbietern, TLD-Namenregistern, Betreibern von Inhaltszustellnetzen, Anbietern von Cloud-Computing-Diensten sowie Anbietern von Rechenzentrumsdiensten und Anbietern digitaler Dienste erbracht werden, grenzübergreifenden Charakter haben, sollte jeweils immer nur ein Mitgliedstaat für diese Einrichtungen zuständig sein. Die gerichtliche Zuständigkeit sollte bei dem Mitgliedstaat liegen, in dem die betreffende Einrichtung ihre Hauptniederlassung in der Union hat. Das Kriterium der Niederlassung im Sinne dieser Richtlinie setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei unerheblich. Dieses Kriterium sollte nicht davon abhängen, ob die Netz- und Informationssysteme an einem bestimmten Ort physisch untergebracht sind; die Existenz und die Nutzung derartiger Systeme stellen an sich keine derartige Hauptniederlassung dar und sind daher kein ausschlaggebendes Kriterium für die Bestimmung der Hauptniederlassung. Die Hauptniederlassung sollte der Ort sein, an dem in der Union über Maßnahmen des Cybersicherheitsrisikomanagements entschieden wird. In der Regel entspricht dies dem Ort, an dem sich die Hauptverwaltung der Unternehmen in der Union befindet. Werden solche Entscheidungen nicht in der Union getroffen, sollte davon ausgegangen werden, dass sich die Hauptniederlassung entweder in dem Mitgliedstaat, in dem die Einrichtung über die Niederlassung mit der unionsweit höchsten Beschäftigtenzahl verfügt, oder in dem Mitgliedstaat befindet, in dem die Niederlassung liegt, in der die Cybersicherheits-Operationen ausgeführt werden. Werden die Dienste von einer Unternehmensgruppe ausgeführt, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten.

Änderungsantrag 65

Vorschlag für eine Richtlinie

Erwägung 65 a (neu)


Vorschlag der Kommission	Geänderter Text
	(65a) Die ENISA sollte ein Register einrichten und führen, das Informationen über wesentliche und wichtige Einrichtungen enthält sowie DNS-Dienstanbieter, TLD-Namensregistrierungsstellen und Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensten, Inhaltsbereitstellungsnetzwerke, Online-Marktplätze, Online-Suchmaschinen und Plattformen für soziale Netzwerke umfasst. Diese wesentlichen und wichtigen Einrichtungen sollten der ENISA ihre Namen, Adressen und aktuellen Kontaktdaten übermitteln. Sie sollten ENISA unverzüglich und in jedem Fall innerhalb von zwei Wochen ab dem Zeitpunkt des Inkrafttretens der Änderung über alle Änderungen dieser Angaben informieren. Die ENISA sollte die Informationen an die zuständige zentrale Anlaufstelle weiterleiten. Die wesentlichen und wichtigen Einrichtungen, die ihre Informationen an die ENISA übermitteln, sind daher nicht verpflichtet, die zuständige Behörde des Mitgliedstaates gesondert zu informieren. Die ENISA könnte ein einfaches, öffentlich zugängliches Anwendungsprogramm entwickeln, das diese Einrichtungen zur Aktualisierung ihrer Informationen nutzen können. Außerdem sollte die ENISA geeignete Informationsklassifizierungs- und -verwaltungsprotokolle erstellen, um die Sicherheit und Vertraulichkeit offengelegter Informationen sicherzustellen und den Zugang, die Speicherung und die Übermittlung derartiger Informationen an die vorgesehenen Nutzer zu beschränken.

Änderungsantrag 66

Vorschlag für eine Richtlinie

Erwägung 66


Vorschlag der Kommission	Geänderter Text
(66) Werden nach nationalem Recht oder Unionsrecht als Verschlusssache geltende Informationen gemäß den Bestimmungen dieser Richtlinie ausgetauscht, gemeldet oder auf andere Weise weitergegeben, so sollten die entsprechenden besonderen Vorschriften für den Umgang mit Verschlusssachen angewandt werden.	(66) Werden nach nationalem Recht oder Unionsrecht als Verschlusssache geltende Informationen gemäß den Bestimmungen dieser Richtlinie ausgetauscht, gemeldet oder auf andere Weise weitergegeben, so sollten die entsprechenden besonderen Vorschriften für den Umgang mit Verschlusssachen angewandt werden. Darüber hinaus sollte die ENISA über die Infrastruktur, Verfahren und Vorschriften verfügen, um sensible und als Verschlusssache eingestufte Informationen im Einklang mit den geltenden Sicherheitsvorschriften zum Schutz von EU-Verschlusssachen zu behandeln.

Änderungsantrag 67

Vorschlag für eine Richtlinie

Erwägung 68


Vorschlag der Kommission	Geänderter Text
(68) Die Einrichtungen sollten ermutigt werden, ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, damit sich ihre Fähigkeit verbessert, Cyberbedrohungen angemessen zu bewerten, zu überwachen, abzuwehren und auf sie zu reagieren. Daher muss dafür gesorgt werden, dass auf Unionsebene Mechanismen für Vereinbarungen über den freiwilligen Informationsaustausch entstehen können. Zu diesem Zweck sollten die Mitgliedstaaten auch einschlägige Einrichtungen, die nicht unter diese Richtlinie fallen, aktiv unterstützen und dazu anhalten, sich an solchen Mechanismen zum Informationsaustausch zu beteiligen. Diese Mechanismen sollten unter uneingeschränkter Einhaltung der Wettbewerbsvorschriften und des Datenschutzrechts der Union eingerichtet werden.	(68) Die Einrichtungen sollten ermutigt und von den Mitgliedstaaten dabei unterstützt werden, ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, damit sich ihre Fähigkeit verbessert, Cyberbedrohungen angemessen zu bewerten, zu überwachen und abzuwehren und auf sie zu reagieren. Daher muss dafür gesorgt werden, dass auf Unionsebene Mechanismen für Vereinbarungen über den freiwilligen Informationsaustausch entstehen können. Zu diesem Zweck sollten die Mitgliedstaaten auch einschlägige Einrichtungen, die nicht unter diese Richtlinie fallen, wie Einrichtungen, die sich auf Cybersicherheitsdienstleistungen und -forschung konzentrieren, aktiv unterstützen und dazu anhalten, sich an solchen Mechanismen zum Informationsaustausch zu beteiligen. Diese Mechanismen sollten unter uneingeschränkter Einhaltung der Wettbewerbsvorschriften und des Datenschutzrechts der Union eingerichtet werden.

Änderungsantrag 68

Vorschlag für eine Richtlinie

Erwägung 69


Vorschlag der Kommission	Geänderter Text
(69) Die Verarbeitung personenbezogener Daten durch Einrichtungen, Behörden, CERTs, CSIRTs sowie Anbieter von Sicherheitstechnologien und -diensten sollte im Sinne der Verordnung (EU) 2016/679 ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellen, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. Dies sollte auch Folgendes einschließen: Maßnahmen im Hinblick auf die Verhütung, Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen, Maßnahmen zur Sensibilisierung für spezifische Cyberbedrohungen, Informationsaustausch im Zusammenhang mit der Behebung von Schwachstellen und ihrer koordinierten Offenlegung, freiwilliger Austausch von Informationen über solche Sicherheitsvorfälle sowie über Cyberbedrohungen und Schwachstellen, Gefährdungsindikatoren, Taktiken, Vorgehensweisen und Verfahren, Cybersicherheitswarnungen und Konfigurationstools. Diese Maßnahmen können die Verarbeitung folgender Arten personenbezogener Daten erfordern: IP-Adressen, Uniform Resource Locators (URL-Adressen), Domänennamen und E-Mail-Adressen.	(69) Die Verarbeitung personenbezogener Daten durch wesentliche und wichtige Einrichtungen, CSIRTs sowie Anbieter von Sicherheitstechnologien und -diensten, ist für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig, und ist für die Erfüllung ihrer rechtlichen Verpflichtungen gemäß dieser Richtlinie erforderlich; eine solche Verarbeitung personenbezogener Daten kann auch für die Zwecke der von wesentlichen und wichtigen Einrichtungen verfolgten berechtigten Interessen erforderlich sein. Erfordert diese Richtlinie die Verarbeitung personenbezogener Daten zum Zwecke der Cybersicherheit und der Netz- und Informationssicherheit gemäß den Bestimmungen der Artikel 18, 20 und 23 der Richtlinie, gilt diese Verarbeitung als zur Erfüllung einer rechtlichen Verpflichtung erforderlich gemäß Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679. Für die Zwecke der Artikel 26 und 27 dieser Richtlinie gilt die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 als erforderlich für die Zwecke der berechtigten Interessen, die von den wesentlichen und wichtigen Einrichtungen verfolgt werden. Maßnahmen im Hinblick auf die Verhütung, Erkennung, Identifizierung, Eindämmung, Analyse und Bewältigung von Sicherheitsvorfällen, Maßnahmen zur Sensibilisierung für spezifische Cyberbedrohungen, Informationsaustausch im Zusammenhang mit der Behebung von Schwachstellen und ihrer koordinierten Offenlegung, freiwilliger Austausch von Informationen über solche Sicherheitsvorfälle sowie über Cyberbedrohungen und Schwachstellen, Gefährdungsindikatoren, Taktiken, Vorgehensweisen und Verfahren, Cybersicherheitswarnungen und Konfigurationstools erfordern die Verarbeitung bestimmter Kategorien personenbezogener Daten wie IP-Adressen, Uniform Resource Locators (URL-Adressen), Domänennamen, E-Mail-Adressen, Zeitstempel, betriebssystem- oder browserbezogener Informationen oder anderer Informationen, die auf den Modus Operandi hinweisen.

Änderungsantrag 69

Vorschlag für eine Richtlinie

Erwägung 71


Vorschlag der Kommission	Geänderter Text
(71) Für eine wirksame Durchsetzung sollte ein Mindestumfang von Verwaltungssanktionen für Verstöße gegen die Verpflichtungen im Bereich des Cybersicherheitsrisikomanagements und die Meldepflichten gemäß dieser Richtlinie festgelegt werden, womit für die gesamte Union ein klarer und kohärenter Rahmen für solche Sanktionen geschaffen wird. Folgendem sollte gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, den tatsächlich entstandenen Schäden oder Verlusten bzw. den Schäden oder Verlusten, die hätten entstehen können, der Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, den Maßnahmen zur Vermeidung oder Minderung der entstandenen Schäden/Verluste, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, dem Umfang der Zusammenarbeit mit der Aufsichtsbehörde sowie jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta der Grundrechte der Europäischen Union, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.	(71) Für eine wirksame Durchsetzung sollte ein Mindestumfang von Verwaltungssanktionen für Verstöße gegen die Verpflichtungen im Bereich des Cybersicherheitsrisikomanagements und die Meldepflichten gemäß dieser Richtlinie festgelegt werden, womit für die gesamte Union ein klarer und kohärenter Rahmen für solche Sanktionen geschaffen wird. Folgendem sollte gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, den entstandenen Schäden oder Verlusten, der Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, den Maßnahmen zur Vermeidung oder Minderung der entstandenen Schäden/Verluste, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, dem Umfang der Zusammenarbeit mit der Aufsichtsbehörde sowie jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen, die verhältnismäßig sein sollten, sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta der Grundrechte der Europäischen Union (die „Charta“), einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren sowie der Unschuldsvermutung und der Verteidigungsrechte, entsprechen.

Änderungsantrag 70

Vorschlag für eine Richtlinie

Erwägung 72


Vorschlag der Kommission	Geänderter Text
(72) Um die wirksame Durchsetzung der in dieser Richtlinie festgelegten Verpflichtungen zu gewährleisten, sollte jede zuständige Behörde befugt sein, Geldbußen aufzuerlegen oder ihre Auferlegung zu beantragen.	(72) Um die wirksame Durchsetzung der in dieser Richtlinie festgelegten Verpflichtungen zu gewährleisten, sollte jede zuständige Behörde befugt sein, Geldbußen aufzuerlegen oder ihre Auferlegung zu beantragen, wenn die Zuwiderhandlung vorsätzlich oder fahrlässig war oder die Einrichtung zuvor darüber informiert worden ist, dass die Einrichtung eine Zuwiderhandlung begeht.

Änderungsantrag 71

Vorschlag für eine Richtlinie

Erwägung 76


Vorschlag der Kommission	Geänderter Text
(76) Um die Wirksamkeit und Abschreckungskraft der Sanktionen bei Verstößen gegen die Verpflichtungen aus dieser Richtlinie zu erhöhen, sollten die zuständigen Behörden befugt sein, Sanktionen zu verhängen, die darin bestehen, die Zertifizierung oder Genehmigung für einen Teil oder alle von einer wesentlichen Einrichtung erbrachten Dienste auszusetzen und natürlichen Personen die Ausübung von Leitungsaufgaben vorübergehend zu untersagen. Angesichts ihrer Schwere und ihrer Auswirkungen auf die Tätigkeiten der Einrichtungen und letztlich auf ihre Verbraucher sollten solche Sanktionen im Verhältnis zur Schwere des Verstoßes und unter Berücksichtigung der besonderen Umstände des Einzelfalls verhängt werden; hierzu zählen auch die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, sowie die zur Verhinderung oder Minderung des erlittenen Schadens und/oder der erlittenen Verluste ergriffenen Maßnahmen. Solche Sanktionen sollten nur als äußerstes Mittel verhängt werden, also erst nachdem die anderen einschlägigen Durchsetzungsmaßnahmen nach dieser Richtlinie ausgeschöpft wurden, und nur so lange, bis die betroffenen Einrichtungen die erforderlichen Maßnahmen zur Behebung der Mängel ergreifen oder die Anforderungen der zuständigen Behörde, auf die sich die Sanktionen beziehen, erfüllen. Für die Verhängung solcher Sanktionen muss es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta der Grundrechte der Europäischen Union, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, der Unschuldsvermutung und des Rechts auf Verteidigung, entsprechen.	(76) Um die Wirksamkeit und Abschreckungskraft der Sanktionen bei Verstößen gegen die Verpflichtungen aus dieser Richtlinie zu erhöhen, sollten die zuständigen Behörden befugt sein, eine vorübergehende Aussetzung der Zertifizierung oder Genehmigung für einen Teil oder alle von einer wesentlichen Einrichtung erbrachten relevanten Dienste anzuwenden, und zu verlangen, dass natürlichen Personen die Ausübung von Leitungsaufgaben auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters vorübergehend untersagt wird. Die Mitgliedstaaten sollten spezifische Verfahren und Vorschriften für das vorübergehende Verbot der Ausübung von Leitungsaufgaben durch eine natürliche Person auf Geschäftsführungs- bzw. Vorstandsebene oder Ebene des rechtlichen Vertreters in Einrichtungen der öffentlichen Verwaltung entwickeln. Bei der Ausarbeitung solcher Verfahren und Vorschriften sollten die Mitgliedstaaten die Besonderheiten ihrer jeweiligen Verwaltungsebenen und -systeme innerhalb ihrer öffentlichen Verwaltungen berücksichtigen. Angesichts ihrer Schwere und ihrer Auswirkungen auf die Tätigkeiten der Einrichtungen und letztlich auf ihre Verbraucher sollten solche vorübergehenden Aussetzungen oder Verbote im Verhältnis zur Schwere des Verstoßes und unter Berücksichtigung der besonderen Umstände des Einzelfalls verhängt werden; hierzu zählen auch die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, sowie die zur Verhinderung oder Minderung des erlittenen Schadens und/oder der erlittenen Verluste ergriffenen Maßnahmen. Vorübergehende Aussetzungen oder Verbote sollten nur als äußerstes Mittel verhängt werden, also erst nachdem die anderen einschlägigen Durchsetzungsmaßnahmen nach dieser Richtlinie ausgeschöpft wurden, und nur so lange, bis die betroffenen Einrichtungen die erforderlichen Maßnahmen zur Behebung der Mängel ergreifen oder die Anforderungen der zuständigen Behörde, auf die sich die vorübergehenden Aussetzungen oder Verbote beziehen, erfüllen. Für die Anwendung solcher vorübergehenden Aussetzungen oder Verbote muss es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, der Unschuldsvermutung und des Rechts auf Verteidigung, entsprechen.

Änderungsantrag 72

Vorschlag für eine Richtlinie

Erwägung 79


Vorschlag der Kommission	Geänderter Text
(79) Es sollte ein Peer-Review-Mechanismus eingeführt werden, der es ermöglicht, dass von den Mitgliedstaaten benannte Sachverständige die Umsetzung der Cybersicherheitsstrategien, einschließlich der Kapazitäten der Mitgliedstaaten und der verfügbaren Ressourcen, einer Bewertung unterziehen.	(79) Es sollte ein Peer-Review-Mechanismus eingeführt werden, der es ermöglicht, dass von den Mitgliedstaaten benannte unabhängige Sachverständige die Umsetzung der Cybersicherheitsstrategien, einschließlich der Kapazitäten der Mitgliedstaaten und der verfügbaren Ressourcen, einer Bewertung unterziehen. Peer-Reviews können zu wertvollen Erkenntnissen und Empfehlungen führen, die die allgemeinen Cybersicherheitsfähigkeiten stärken. Sie können insbesondere dazu beitragen, den Transfer von Technologien, Werkzeugen, Maßnahmen und Verfahren zwischen den an der Peer-Review beteiligten Mitgliedstaaten zu erleichtern, einen funktionalen Weg für den Austausch bewährter Verfahren zwischen Mitgliedstaaten mit unterschiedlichem Reifegrad im Bereich der Cybersicherheit zu schaffen und die Erreichung eines hohen, gemeinsamen Cybersicherheitsniveaus in der gesamten Union zu ermöglichen. Der Peer-Review sollte eine Selbstbewertung des zu überprüfenden Mitgliedstaats vorausgehen, die sich auf die überprüften Aspekte und alle zusätzlichen gezielten Fragen erstreckt, die die benannten Sachverständigen dem zu überprüfenden Mitgliedstaat vor Beginn des Verfahrens mitteilen. Die Kommission sollte in Zusammenarbeit mit der ENISA und der Kooperationsgruppe Vorlagen für die Selbstbewertung der überprüften Aspekte entwickeln, um den Prozess zu straffen und verfahrenstechnische Unstimmigkeiten und Verzögerungen zu vermeiden, die die einer Peer-Review unterzogenen Mitgliedstaaten ausfüllen und den benannten Sachverständigen, die die Peer-Review durchführen, vor Beginn des Peer-Review-Verfahrens übermitteln sollten.

Änderungsantrag 73

Vorschlag für eine Richtlinie

Erwägung 80


Vorschlag der Kommission	Geänderter Text
(80) Um neuen Cyberbedrohungen, technologischen Entwicklungen oder sektorspezifischen Eigenschaften Rechnung zu tragen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte in Bezug auf Elemente zu erlassen, die die in dieser Richtlinie vorgeschriebenen Risikomanagementmaßnahmen betreffen. Der Kommission sollte auch die Befugnis übertragen werden, delegierte Rechtsakte zu erlassen, in denen festgelegt wird, welche Kategorien wesentlicher Einrichtungen ein Zertifikat erlangen müssen und welche spezifischen europäischen Schemata für die Cybersicherheitszertifizierung dabei anzuwenden sind. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung26 niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.	(80) Um neuen Cyberbedrohungen, technologischen Entwicklungen oder sektorspezifischen Eigenschaften Rechnung zu tragen, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte in Bezug auf Elemente zu erlassen, die die in dieser Richtlinie vorgeschriebenen Risikomanagementmaßnahmen und Meldepflichten im Bereich der Cybersicherheit betreffen. Der Kommission sollte auch die Befugnis übertragen werden, delegierte Rechtsakte zu erlassen, in denen festgelegt wird, welche Kategorien wesentlicher und wichtigen Einrichtungen ein Zertifikat erlangen müssen und welche spezifischen europäischen Schemata für die Cybersicherheitszertifizierung dabei anzuwenden sind. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.
__________________
26 ABl. L 123 vom 12.5.2016, S. 1.

Änderungsantrag 74

Vorschlag für eine Richtlinie

Erwägung 81


Vorschlag der Kommission	Geänderter Text
(81) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der einschlägigen Bestimmungen dieser Richtlinie in Bezug auf die Verfahrensmodalitäten, die für das Funktionieren der Kooperationsgruppe erforderlich sind, die technischen Elemente im Zusammenhang mit Risikomanagementmaßnahmen oder die Art der Informationen, das Format und das Verfahren für die Meldung von Sicherheitsvorfällen, sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates27 ausgeübt werden.	(81) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der einschlägigen Bestimmungen dieser Richtlinie in Bezug auf die Verfahrensmodalitäten, die für das Funktionieren der Kooperationsgruppe erforderlich sind, das Verfahren für die Meldung von Sicherheitsvorfällen, sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates27 ausgeübt werden.
__________________	__________________
27 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).	27 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

Änderungsantrag 75

Vorschlag für eine Richtlinie

Erwägung 82


Vorschlag der Kommission	Geänderter Text
(82) Die Kommission sollte diese Richtlinie regelmäßig in Abstimmung mit interessierten Kreisen überprüfen, insbesondere um festzustellen, ob sie veränderten gesellschaftlichen, politischen oder technischen Bedingungen oder veränderten Marktbedingungen anzupassen ist.	(82) Die Kommission sollte diese Richtlinie regelmäßig in Abstimmung mit interessierten Kreisen überprüfen, insbesondere um festzustellen, ob angesichts veränderter gesellschaftlicher, politischer oder technischer Bedingungen oder veränderter Marktbedingungen Änderungen vorgeschlagen werden sollten. Im Rahmen dieser Überprüfungen sollte die Kommission die Bedeutung der in den Anhängen genannten Sektoren, Teilsektoren und Arten von Einrichtungen für das Funktionieren von Wirtschaft und Gesellschaft in Bezug auf die Cybersicherheit bewerten. Die Kommission sollte unter anderem prüfen, ob digitale Anbieter, die als sehr große Online-Plattformen im Sinne von Artikel 25 der Verordnung (EU) XXXX/XXXX [Binnenmarkt für digitale Dienstleistungen (Gesetz über digitale Dienstleistungen)] oder als Gatekeeper im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) XXXX/XXXX [Bestreitbare und faire Märkte im digitalen Sektor (Gesetz über digitale Märkte)] eingestuft werden, als wesentliche Einrichtungen im Sinne dieser Richtlinie benannt werden sollten. Darüber hinaus sollte die Kommission prüfen, ob es angemessen ist, Anhang I der Richtlinie 2020/1828 des Europäischen Parlaments und des Rates1a zu ändern und einen Verweis auf die vorliegende Richtlinie hinzuzufügen.
	__________________
	1a Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. L 409 vom 4.12.2020, S. 1).

Änderungsantrag 76

Vorschlag für eine Richtlinie

Erwägung 82 a (neu)


Vorschlag der Kommission	Geänderter Text
	(82a) Durch diese Richtlinie werden die Anforderungen an die Cybersicherheit für die Mitgliedstaaten sowie für wesentliche und wichtige Einrichtungen mit Sitz in der Union festgelegt. Diese Anforderungen an die Cybersicherheit sollten auch von den Organen, Einrichtungen und sonstigen Stellen der Union auf der Grundlage eines Rechtsakts der Union angewandt werden.

Änderungsantrag 77

Vorschlag für eine Richtlinie

Erwägung 82 b (neu)


Vorschlag der Kommission	Geänderter Text
	(82b) Mit dieser Richtlinie werden neue Aufgaben für die ENISA geschaffen, wodurch ihre Rolle gestärkt wird, und sie könnte auch dazu führen, dass die ENISA ihre bestehenden Aufgaben gemäß der Verordnung (EU) 2019/881 auf einem höheren Niveau als zuvor ausführen muss. Um sicherzustellen, dass die ENISA über die erforderlichen finanziellen und personellen Ressourcen verfügt, um bestehende und neue Tätigkeiten im Rahmen ihrer Aufgaben durchzuführen und um etwaigen höheren Anforderungen, die sich aus ihrer erweiterten Rolle ergeben, gerecht zu werden, sollte ihr Haushalt entsprechend aufgestockt werden. Um eine effiziente Nutzung der Ressourcen zu gewährleisten, sollte die ENISA außerdem eine größere Flexibilität bei der Art und Weise erhalten, in der es ihr gestattet ist, die Ressourcen intern zuzuweisen, damit sie in der Lage ist, ihre Aufgaben effektiv wahrzunehmen und die Erwartungen zu erfüllen.

Änderungsantrag 78

Vorschlag für eine Richtlinie

Erwägung 84


Vorschlag der Kommission	Geänderter Text
(84) Diese Richtlinie steht mit den in der Charta der Grundrechte der Europäischen Union anerkannten Grundrechten und Grundsätzen, insbesondere der Achtung des Privatlebens und der Kommunikation, dem Schutz personenbezogener Daten, der unternehmerischen Freiheit, dem Eigentumsrecht, dem Recht auf einen wirksamen Rechtsbehelf und dem Recht, gehört zu werden, im Einklang. Diese Richtlinie sollte im Einklang mit diesen Rechten und Grundsätzen umgesetzt werden —	(84) Diese Richtlinie steht mit den in der Charta anerkannten Grundrechten und Grundsätzen, insbesondere der Achtung des Privatlebens und der Kommunikation, dem Schutz personenbezogener Daten, der unternehmerischen Freiheit, dem Eigentumsrecht, dem Recht auf einen wirksamen Rechtsbehelf und dem Recht, gehört zu werden, im Einklang. Dazu gehört auch das Recht auf einen wirksamen Rechtsbehelf vor einem Gericht für die Empfänger von Dienstleistungen, die von wesentlichen und wichtigen Einrichtungen erbracht werden. Diese Richtlinie sollte im Einklang mit diesen Rechten und Grundsätzen umgesetzt werden.

Änderungsantrag 79

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – Buchstabe c a (neu)


Vorschlag der Kommission	Geänderter Text
	ca) Aufsichts- und Durchsetzungspflichten für die Mitgliedstaaten.

Änderungsantrag 80

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 1


Vorschlag der Kommission	Geänderter Text
(1) Diese Richtlinie gilt für öffentliche und private Einrichtungen der in Anhang I als wesentliche Einrichtungen und in Anhang II als wichtige Einrichtungen aufgeführten Arten. Diese Richtlinie gilt nicht für Einrichtungen, die als Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission28 angesehen werden.	(1) Diese Richtlinie gilt für öffentliche und private wesentliche und wichtige Einrichtungen der in Anhang I als wesentliche Einrichtungen und in Anhang II als wichtige Einrichtungen aufgeführten Arten, die ihre Dienstleistungen innerhalb der Union erbringen oder ihre Tätigkeiten dort ausüben. Diese Richtlinie gilt nicht für Kleinst- oder Kleinunternehmen im Sinne von Artikel 2 Absätze 2 und 3 des Anhangs der Empfehlung 2003/361/EG der Kommission28. Artikel 3 Absatz 4 des Anhangs der Empfehlung ist nicht anwendbar.
__________________	__________________
28 Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).	28 Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).

Änderungsantrag 81

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 – Unterabsatz 1 – Einleitung


Vorschlag der Kommission	Geänderter Text
Unabhängig von der Größe der Einrichtungen gilt diese Richtlinie jedoch auch für die in den Anhängen I und II genannten Einrichtungen, wenn	Unabhängig von der Größe der Einrichtungen gilt diese Richtlinie auch für wesentliche und wichtige Einrichtungen, wenn

Änderungsantrag 82

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 – Unterabsatz 1 – Buchstabe d


Vorschlag der Kommission	Geänderter Text
d) sich eine mögliche Störung des von der Einrichtung erbrachten Dienstes auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;	d) sich eine Störung des von der Einrichtung erbrachten Dienstes auf die öffentliche Ordnung, die öffentliche Sicherheit oder die öffentliche Gesundheit auswirken könnte;

Änderungsantrag 83

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 - Unterabsatz 1 – Buchstabe e


Vorschlag der Kommission	Geänderter Text
e) eine mögliche Störung des von der Einrichtung erbrachten Dienstes zu Systemrisiken führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;	e) eine Störung des von der Einrichtung erbrachten Dienstes zu Systemrisiken führen könnte, insbesondere in Sektoren, in denen eine solche Störung grenzübergreifende Auswirkungen haben könnte;

Änderungsantrag 84

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 – Unterabsatz 2


Vorschlag der Kommission	Geänderter Text
Die Mitgliedstaaten erstellen eine Liste der gemäß den Buchstaben b bis f ermittelten Einrichtungen und übermitteln sie der Kommission bis zum [6 Monate nach Ablauf der Umsetzungsfrist]. Danach überprüfen die Mitgliedstaaten die Liste regelmäßig und mindestens alle zwei Jahre und aktualisieren sie gegebenenfalls.	entfällt

Änderungsantrag 85

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 a (neu)


Vorschlag der Kommission	Geänderter Text
	(2a) Bis zum ... [6 Monate nach Ablauf der Umsetzungsfrist] erstellen die Mitgliedstaaten eine Liste der wesentlichen und wichtigen Einrichtungen, einschließlich der in Absatz 1 genannten Einrichtungen und der gemäß Absatz 2 Buchstaben b bis f und Artikel 24 Absatz 1 ermittelten Einrichtungen. Die Mitgliedstaaten überprüfen diese Liste danach regelmäßig, mindestens jedoch alle zwei Jahre, und aktualisieren sie gegebenenfalls.

Änderungsantrag 86

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 b (neu)


Vorschlag der Kommission	Geänderter Text
	(2b) Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen den zuständigen Behörden zumindest die folgenden Informationen übermitteln:
	a) Name der Einrichtung,
	b) Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adressen, IP-Bereiche, Telefonnummern, sowie
	c) relevante(n) Sektor(en) und Teilsektor(en) gemäß den Anhängen I und II.
	Die wesentlichen und wichtigen Einrichtungen teilen alle Änderungen der gemäß Unterabsatz 1 übermittelten Angaben unverzüglich mit, in jedem Fall jedoch innerhalb von zwei Wochen ab dem Zeitpunkt, an dem die Änderung wirksam wird. Zu diesem Zweck gibt die Kommission mit Unterstützung der ENISA unverzüglich Leitlinien und Vorlagen für die in diesem Absatz genannten Verpflichtungen heraus.

Änderungsantrag 87

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 2 c (neu)


Vorschlag der Kommission	Geänderter Text
	(2c) Bis zum ... [6 Monate nach Ablauf der Umsetzungsfrist] und danach alle zwei Jahre melden die Mitgliedstaaten
	a) der Kommission und der Kooperationsgruppe die Anzahl aller wesentlichen und wichtigen Einrichtungen, die für jeden Sektor und Teilsektor gemäß den Anhängen I und II ermittelt wurden, und
	b) der Kommission die Namen der gemäß Absatz 2 Buchstaben b bis f ermittelten Einrichtungen.

Änderungsantrag 88

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 4


Vorschlag der Kommission	Geänderter Text
(4) Diese Richtlinie gilt unbeschadet der Richtlinie 2008/114/EG des Rates30 sowie der Richtlinien 2011/93/EU31 und 2013/40/EU32 des Europäischen Parlaments und des Rates.	(4) Diese Richtlinie gilt unbeschadet der Richtlinie 2008/114/EG des Rates30 und der Richtlinien 2011/93/EU31 und 2002/58/EU des Europäischen Parlaments und des Rates32a.
__________________	__________________
30 Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (ABl. L 345 vom 23.12.2008, S. 75).	30 Richtlinie 2008/114/EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (ABl. L 345 vom 23.12.2008, S. 75).
31 Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).	31 Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).
32 Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. L 218 vom 14.8.2013, S. 8).	32 Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. L 218 vom 14.8.2013, S. 8).
	32a Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

Änderungsantrag 89

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 6


Vorschlag der Kommission	Geänderter Text
(6) Wenn wesentliche oder wichtige Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union entweder Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder Sicherheitsvorfälle und erhebliche Cyberbedrohungen melden müssen und wenn die entsprechenden Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen, auch den in Kapitel VI festgelegten Bestimmungen in Bezug auf die Aufsicht und die Durchsetzung, zumindest gleichwertig sind, finden die einschlägigen Bestimmungen dieser Richtlinie keine Anwendung.	(6) Wenn wesentliche oder wichtige Einrichtungen gemäß den Bestimmungen sektorspezifischer Rechtsakte der Union Maßnahmen zum Cybersicherheitsrisikomanagement ergreifen oder Sicherheitsvorfälle melden müssen und wenn die entsprechenden Anforderungen in ihrer Wirkung den in dieser Richtlinie festgelegten Verpflichtungen, auch den in Kapitel VI festgelegten Bestimmungen in Bezug auf die Aufsicht und die Durchsetzung, zumindest gleichwertig sind, finden die einschlägigen Bestimmungen dieser Richtlinie keine Anwendung. Die Kommission erlässt unverzüglich Leitlinien für die Durchführung der sektorspezifischen Rechtsakte der Union um sicherzustellen, dass die in dieser Richtlinie festgelegten Anforderungen an die Cybersicherheit durch diese Rechtsakte erfüllt werden und dass es nicht zu Überschneidungen oder Rechtsunsicherheit kommt. Bei der Ausarbeitung dieser Leitlinien trägt die Kommission den bewährten Verfahren und dem Fachwissen der ENISA und der Kooperationsgruppe Rechnung.

Änderungsantrag 90

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 6 a (neu)


Vorschlag der Kommission	Geänderter Text
	(6a) Wesentliche und wichtige Einrichtungen, CSIRTs und Anbieter von Sicherheitstechnologien und -diensten verarbeiten personenbezogene Daten, soweit dies für die Zwecke der Cybersicherheit sowie der Netz- und Informationssicherheit unbedingt erforderlich und verhältnismäßig ist, um die in dieser Richtlinie festgelegten Verpflichtungen zu erfüllen. Diese Verarbeitung personenbezogener Daten nach dieser Richtlinie erfolgt im Einklang mit der Verordnung (EU) 2016/679, insbesondere mit ihrem Artikel 6.

Änderungsantrag 91

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 6 b (neu)


Vorschlag der Kommission	Geänderter Text
	(6b) Die Verarbeitung personenbezogener Daten gemäß dieser Richtlinie durch Anbieter öffentlicher elektronischer Kommunikationsnetze oder Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste gemäß Anhang I Nummer 8 erfolgt im Einklang mit der Richtlinie 2002/58/EG.

Änderungsantrag 92

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 4 a (neu)


Vorschlag der Kommission	Geänderter Text
	(4a) „Beinahe-Vorfall“ ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten hätte gefährden können oder einen Schaden hätte verursachen können, dessen negative Auswirkungen jedoch erfolgreich verhindert wurden;

Änderungsantrag 93

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 6


Vorschlag der Kommission	Geänderter Text
6. „Bewältigung von Sicherheitsvorfällen“ alle Maßnahmen und Verfahren zur Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen sowie die Reaktion darauf;	6. „Bewältigung von Sicherheitsvorfällen“ alle Maßnahmen und Verfahren zur Verhütung, Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen sowie die Reaktion darauf;

Änderungsantrag 94

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 7a (neu)


Vorschlag der Kommission	Geänderter Text
	7a. „Risiko“ das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens dieses Sicherheitsvorfalls zum Ausdruck gebracht wird;

Änderungsantrag 95

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 11


Vorschlag der Kommission	Geänderter Text
11. „technische Spezifikation“ eine technische Spezifikation im Sinne des Artikels 2 Nummer 4 der Verordnung (EU) Nr. 1025/2012;	11. „technische Spezifikation“ eine technische Spezifikation im Sinne des Artikels 2 Nummer 20 der Verordnung (EU) Nr. 2019/881;

Änderungsantrag 96

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 13


Vorschlag der Kommission	Geänderter Text
13. „Domänennamensystem (DNS)“ ein verteiltes hierarchisches Verzeichnissystem, das es den Endnutzern ermöglicht, Dienste und Ressourcen im Internet zu erreichen;	13. „Domänennamensystem“ (DNS) ein verteiltes hierarchisches Verzeichnissystem, das die Identifizierung von Diensten und Ressourcen im Internet ermöglicht und es Endnutzergeräten erlaubt, Internet-Routing- und Konnektivitätsdienste zu nutzen, um diese Dienste und Ressourcen zu erreichen;

Änderungsantrag 97

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 14


Vorschlag der Kommission	Geänderter Text
14. „DNS-Diensteanbieter“ eine Einrichtung, die Internet-Endnutzern und anderen DNS-Diensteanbietern rekursive oder autoritative Dienste zur Auflösung von Domänennamen anbietet;	14. „DNS-Diensteanbieter“ eine Einrichtung, die

Änderungsantrag 98

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 14 – Buchstabe a (neu)


Vorschlag der Kommission	Geänderter Text
	a) Internet-Endnutzern offene oder öffentliche rekursive Dienste zur Auflösung von Domänennamen anbietet oder

Änderungsantrag 99

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 14 – Buchstabe b (neu)


Vorschlag der Kommission	Geänderter Text
	b) autoritative Dienste zur Auflösung von Domänennamen als Dienstleistung, die von Drittanbietern bezogen werden kann, anbietet;

Änderungsantrag 100

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 15


Vorschlag der Kommission	Geänderter Text
15. „Namenregister der Domäne oberster Stufe“ (TLD-Register) eine Einrichtung, der eine bestimmte Domäne oberster Stufe (Top Level Domain – TLD) übertragen wurde und die für die Verwaltung der TLD, einschließlich der Registrierung von Domänennamen unterhalb der TLD, sowie für den technischen Betrieb der TLD, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Datenbanken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig ist;	15. „Namenregister der Domäne oberster Stufe“ (TLD-Register) eine Einrichtung, der eine bestimmte Domäne oberster Stufe (Top Level Domain – TLD) übertragen wurde und die für die Verwaltung der TLD, einschließlich der Registrierung von Domänennamen unterhalb der TLD, sowie für den technischen Betrieb der TLD, einschließlich des Betriebs ihrer Namenserver, der Pflege ihrer Datenbanken und der Verteilung von TLD-Zonendateien über die Namenserver, zuständig ist, unabhängig davon, ob der Betrieb durch eine Einrichtung oder extern erfolgt;

Änderungsantrag 101

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 15 a (neu)


Vorschlag der Kommission	Geänderter Text
	15a. „Domänennamen-Registrierungsdienste“ Dienste, die von Domänennamen-Registern und Domänennamen-Registrierungsstellen, Anbietern von Datenschutz- oder Proxy-Registrierungsdiensten, Domänenmaklern oder Wiederverkäufern erbracht werden, sowie alle anderen Dienste, die mit der Registrierung von Domänennamen zusammenhängen;

Änderungsantrag 102

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 23 a (neu)


Vorschlag der Kommission	Geänderter Text
	23a. „öffentliches elektronisches Kommunikationsnetz“ ein öffentliches elektronisches Kommunikationsnetz im Sinne von Artikel 2 Nummer 8 der Richtlinie (EU) 2018/1972;

Änderungsantrag 103

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Nummer 23 b (neu)


Vorschlag der Kommission	Geänderter Text
	23b. „elektronischer Kommunikationsdienste“ elektronische Kommunikationsdienste im Sinne des Artikels 2 Nummer 4 der Richtlinie (EU) 2018/1972;

Änderungsantrag 104

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Einleitung


Vorschlag der Kommission	Geänderter Text
(1) Jeder Mitgliedstaat verabschiedet eine nationale Cybersicherheitsstrategie, in der die strategischen Ziele sowie angemessene politische und regulatorische Maßnahmen zur Erreichung und Aufrechterhaltung eines hohen Cybersicherheitsniveaus festgelegt werden. Die nationale Cybersicherheitsstrategie muss insbesondere Folgendes umfassen:	(1) Jeder Mitgliedstaat nimmt eine nationale Cybersicherheitsstrategie an, in der die strategischen Ziele, die erforderlichen technischen, organisatorischen und finanziellen Ressourcen zur Erreichung dieser Ziele sowie angemessene politische und regulatorische Maßnahmen zur Erreichung und Aufrechterhaltung eines hohen Cybersicherheitsniveaus festgelegt werden. Die nationale Cybersicherheitsstrategie muss insbesondere Folgendes umfassen:

Änderungsantrag 105

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe a


Vorschlag der Kommission	Geänderter Text
a) eine Beschreibung der für die Cybersicherheitsstrategie des jeweiligen Mitgliedstaats festgelegten Ziele und Prioritäten;	a) eine Beschreibung der für die Cybersicherheitsstrategie des Mitgliedstaats festgelegten Ziele und Prioritäten;

Änderungsantrag 106

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe b


Vorschlag der Kommission	Geänderter Text
b) einen Steuerungsrahmen zur Verwirklichung dieser Ziele und Prioritäten, der die in Absatz 2 genannten Konzepte sowie die Aufgaben und Zuständigkeiten öffentlicher Stellen und Einrichtungen sowie anderer relevanter Akteure umfasst;	b) einen Steuerungsrahmen zur Verwirklichung dieser Ziele und Prioritäten, der die in Absatz 2 genannten Konzepte;

Änderungsantrag 107

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe b a (neu)


Vorschlag der Kommission	Geänderter Text
	ba) einen Rahmen, in dem die Aufgaben und Zuständigkeiten der öffentlichen Stellen und Einrichtungen sowie anderer einschlägiger Akteure festgelegt werden und der die Zusammenarbeit und Koordinierung auf nationaler Ebene zwischen den gemäß Artikel 7 Absatz 1 und Artikel 8 Absatz 1 benannten zuständigen Behörden, der gemäß Artikel 8 Absatz 3 benannten zentralen Anlaufstelle und den gemäß Artikel 9 benannten CSIRTs unterstützt;

Änderungsantrag 108

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe e


Vorschlag der Kommission	Geänderter Text
e) eine Liste der verschiedenen Behörden und Akteure, die an der Umsetzung der nationalen Cybersicherheitsstrategie beteiligt sind;	e) eine Liste der verschiedenen Behörden und Akteure, die an der Umsetzung der nationalen Cybersicherheitsstrategie beteiligt sind, einschließlich einer zentralen Anlaufstelle für die Cybersicherheit für KMU, die Unterstützung bei der Umsetzung der spezifischen Cybersicherheitsmaßnahmen bietet;

Änderungsantrag 109

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe f


Vorschlag der Kommission	Geänderter Text
f) einen politischen Rahmen für eine verstärkte Koordinierung zwischen den zuständigen Behörden im Rahmen dieser Richtlinie und der Richtlinie (EU) XXXX/XXXX des Europäischen Parlaments und des Rates38 [Richtlinie über die Resilienz kritischer Einrichtungen] für die Zwecke des Informationsaustauschs über Sicherheitsvorfälle und Cyberbedrohungen und der Wahrnehmung von Aufsichtsaufgaben.	f) einen politischen Rahmen für eine verstärkte Koordinierung zwischen den zuständigen Behörden im Rahmen dieser Richtlinie und der Richtlinie (EU)XXXX/XXXX des Europäischen Parlaments und des Rates [Richtlinie über die Resilienz kritischer Einrichtungen]38 , sowohl in als auch zwischen den Mitgliedstaaten, für die Zwecke des Informationsaustauschs über Sicherheitsvorfälle und Cyberbedrohungen und der Wahrnehmung von Aufsichtsaufgaben.
__________________	__________________
38 [vollständigen Titel und Fundstelle im Amtsblatt einfügen, sobald bekannt].	38 [vollständigen Titel und Fundstelle im Amtsblatt einfügen, sobald bekannt].

Änderungsantrag 110

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1 – Buchstabe f a (neu)


Vorschlag der Kommission	Geänderter Text
	fa) eine Bewertung des allgemeinen Bewusstseins für Cybersicherheit bei den Bürgerinnen und Bürgern.

Änderungsantrag 111

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe -a (neu)


Vorschlag der Kommission	Geänderter Text
	-a) ein Konzept für die Cybersicherheit für jeden Sektor, der durch diese Richtlinie geregelt wird;

Änderungsantrag 112

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe b


Vorschlag der Kommission	Geänderter Text
b) Leitlinien für die Aufnahme und Spezifikation cybersicherheitsbezogener Anforderungen an IKT-Produkte und -Dienste bei der Vergabe öffentlicher Aufträge;	b) Leitlinien für die Aufnahme und Spezifikation cybersicherheitsbezogener Anforderungen an IKT-Produkte und -Dienste bei der Vergabe öffentlicher Aufträge, einschließlich Verschlüsselungsanforderungen und der Nutzung quelloffener Cybersicherheitsprodukte;

Änderungsantrag 113

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe d


Vorschlag der Kommission	Geänderter Text
d) ein Konzept im Zusammenhang mit der Aufrechterhaltung der allgemeinen Verfügbarkeit und Integrität des öffentlichen Kerns des offenen Internets;	d) ein Konzept im Zusammenhang mit der Aufrechterhaltung der allgemeinen Verfügbarkeit und Integrität des öffentlichen Kerns des offenen Internets, einschließlich der Cybersicherheit von Unterseekommunikationskabeln;

Änderungsantrag 114

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe d a (neu)


Vorschlag der Kommission	Geänderter Text
	da) ein Konzept zur Förderung und Unterstützung der Entwicklung und Integration sich abzeichnender Technologien wie künstliche Intelligenz bei Tools und Anwendungen zur Verbesserung der Cybersicherheit;

Änderungsantrag 115

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe d b (neu)


Vorschlag der Kommission	Geänderter Text
	db) ein Konzept zur Förderung der Integration von Open-Source-Tools und -Anwendungen;

Änderungsantrag 116

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe f


Vorschlag der Kommission	Geänderter Text
f) ein Konzept zur Unterstützung von Hochschul- und Forschungseinrichtungen bei der Entwicklung von Cybersicherheitsinstrumenten und sicherer Netzinfrastruktur;	f) ein Konzept zur Unterstützung von Hochschul- und Forschungseinrichtungen bei der Entwicklung, der Verbesserung und des Einsatzes von Cybersicherheitsinstrumenten und sicherer Netzinfrastruktur;

Änderungsantrag 117

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe h


Vorschlag der Kommission	Geänderter Text
h) ein Konzept, das auf die spezifischen Bedürfnisse von KMU – insbesondere vom Anwendungsbereich dieser Richtlinie ausgenommener KMU – ausgerichtet ist und Orientierungshilfen sowie Unterstützung bei der Verbesserung ihrer Resilienz gegenüber Cybersicherheitsbedrohungen bietet.	h) ein Konzept zur Förderung der Cybersicherheit für KMU, – einschließlich vom Anwendungsbereich dieser Richtlinie ausgenommener KMU – das auf ihre besonderen Bedürfnisse eingeht und Orientierungshilfen sowie Unterstützung bietet, einschließlich Leitlinien für die Bewältigung der aufgetretenen Herausforderungen in der Lieferkette;

Änderungsantrag 118

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe h a (neu)


Vorschlag der Kommission	Geänderter Text
	ha) ein Konzept zur Förderung der Cyber-Hygiene, das ein Basispaket von Praktiken und Kontrollen umfasst, sowie eine allgemeine Sensibilisierung der Bürger für Cyber-Sicherheitsbedrohungen und bewährte Verfahren;

Änderungsantrag 119

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe h b (neu)


Vorschlag der Kommission	Geänderter Text
	hb) ein Konzept zur Förderung der aktiven Cyberverteidigung

Änderungsantrag 120

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe h c (neu)


Vorschlag der Kommission	Geänderter Text
	hc) ein Konzept, das den Behörden dabei hilft, Kompetenzen zu entwickeln und Verständnis für die Sicherheitsüberlegungen zu schaffen, die für die Planung, den Bau und die Verwaltung vernetzter Orte erforderlich sind.

Änderungsantrag 121

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe h d (neu)


Vorschlag der Kommission	Geänderter Text
	hd) ein Konzept, das sich speziell mit der Bedrohung durch Ransomware befasst und das Ransomware-Geschäftsmodell stört;

Änderungsantrag 122

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 2 – Buchstabe h e (neu)


Vorschlag der Kommission	Geänderter Text
	he) ein Konzept, einschließlich einschlägiger Verfahren und Steuerungsrahmen, um die Einrichtung von ÖPPs für die Cybersicherheit zu unterstützen und zu fördern;

Änderungsantrag 123

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 3


Vorschlag der Kommission	Geänderter Text
(3) Die Mitgliedstaaten notifizieren der Kommission ihre nationalen Cybersicherheitsstrategien innerhalb von drei Monaten nach ihrer Verabschiedung. Die Mitgliedstaaten können bestimmte Informationen von der Notifizierung ausnehmen, wenn und soweit dies zur Wahrung der nationalen Sicherheit unbedingt erforderlich ist.	(3) Die Mitgliedstaaten notifizieren der Kommission ihre nationalen Cybersicherheitsstrategien innerhalb von drei Monaten nach ihrer Verabschiedung. Die Mitgliedstaaten können bestimmte Informationen von der Notifizierung ausnehmen, wenn und soweit dies zur Wahrung der nationalen Sicherheit erforderlich ist.

Änderungsantrag 124

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 4


Vorschlag der Kommission	Geänderter Text
(4) Die Mitgliedstaaten bewerten ihre nationalen Cybersicherheitsstrategien mindestens alle vier Jahre auf der Grundlage wesentlicher Leistungsindikatoren und ändern diese erforderlichenfalls. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) unterstützt die Mitgliedstaaten auf Anfrage bei der Entwicklung einer nationalen Strategie und wesentlicher Leistungsindikatoren für die Bewertung der Strategie.	(4) Die Mitgliedstaaten bewerten ihre nationalen Cybersicherheitsstrategien mindestens alle vier Jahre auf der Grundlage wesentlicher Leistungsindikatoren und ändern diese erforderlichenfalls. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) unterstützt die Mitgliedstaaten auf Anfrage bei der Entwicklung einer nationalen Strategie und wesentlicher Leistungsindikatoren für die Bewertung der Strategie. Die ENISA stellt den Mitgliedstaaten Leitlinien zur Verfügung, um ihre bereits formulierten nationalen Cybersicherheitsstrategien an die in dieser Richtlinie festgelegten Anforderungen und Verpflichtungen anzupassen.

Änderungsantrag 125

Vorschlag für eine Richtlinie

Artikel 6 – Überschrift


Vorschlag der Kommission	Geänderter Text
Koordinierte Offenlegung von Schwachstellen und europäisches Schwachstellenregister	Koordinierte Offenlegung von Schwachstellen und eine europäische Schwachstellendatenbank

Änderungsantrag 126

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 1


Vorschlag der Kommission	Geänderter Text
(1) Jeder Mitgliedstaat benennt eines seiner CSIRTs gemäß Artikel 9 als Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen. Das benannte CSIRT fungiert als vertrauenswürdiger Vermittler und erleichtert erforderlichenfalls die Interaktion zwischen der meldenden Einrichtung und dem Hersteller oder Anbieter von IKT-Produkten oder -Diensten. Betrifft die gemeldete Schwachstelle mehrere Hersteller oder Anbieter von IKT-Produkten oder -Diensten in der Union, so arbeitet das benannte CSIRT jedes betroffenen Mitgliedstaats mit dem CSIRT-Netzwerk zusammen.	(1) Jeder Mitgliedstaat benennt eines seiner CSIRTs gemäß Artikel 9 als Koordinator für die Zwecke einer koordinierten Offenlegung von Schwachstellen. Das benannte CSIRT fungiert als vertrauenswürdiger Vermittler und erleichtert auf Ersuchen der meldenden Einrichtung die Interaktion zwischen der meldenden Einrichtung und dem Hersteller oder Anbieter von IKT-Produkten oder -Diensten. Betrifft die gemeldete Schwachstelle mehrere Hersteller oder Anbieter von IKT-Produkten oder -Diensten in der Union, so arbeitet das benannte CSIRT jedes betroffenen Mitgliedstaats mit dem CSIRT-Netzwerk zusammen.

Änderungsantrag 127

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2


Vorschlag der Kommission	Geänderter Text
(2) Die ENISA entwickelt und pflegt ein europäisches Schwachstellenregister. Zu diesem Zweck führt die ENISA geeignete Informationssysteme, Konzepte und Verfahren ein und pflegt diese, damit insbesondere wichtige und wesentliche Einrichtungen sowie deren Anbieter von Netz- und Informationssystemen Schwachstellen in IKT-Produkten oder -Diensten offenlegen und registrieren können und allen interessierten Kreisen Zugang zu den im Register enthaltenen Informationen über Schwachstellen gewährt werden kann. Das Register muss insbesondere Folgendes umfassen: Informationen zur Beschreibung der Schwachstelle, des betroffenen IKT-Produkts oder der betroffenen IKT-Dienste sowie zum Ausmaß der Schwachstelle im Hinblick auf die Umstände, unter denen sie ausgenutzt werden kann, Informationen zur Verfügbarkeit entsprechender Patches und bei Nichtverfügbarkeit von Patches Orientierungshilfen für die Nutzer gefährdeter Produkte und Dienste, wie die von offengelegten Schwachstellen ausgehenden Risiken gemindert werden können.	(2) Die ENISA entwickelt und pflegt eine europäische Schwachstellendatenbank, bei der das globale Common Vulnerabilities and Exposures (CVE – Bekannte Schwachstellen und Anfälligkeiten) zum Einsatz kommt. Zu diesem Zweck führt die ENISA geeignete Informationssysteme, Konzepte und Verfahren ein, pflegt diese und trifft die erforderlichen technischen und organisatorischen Maßnahmen, um die Sicherheit und Integrität der Datenbank zu gewährleisten, damit insbesondere wichtige und wesentliche Einrichtungen und deren Anbieter von Netz- und Informationssystemen sowie Einrichtungen, die nicht in den Anwendungsbereich dieser Richtlinie fallen, Schwachstellen in IKT-Produkten oder -Diensten offenlegen und registrieren können. Allen interessierten Kreisen wird Zugang zu den in der Datenbank enthaltenen Informationen über Schwachstellen gewährt, für die Patches oder Abhilfemaßnahmen verfügbar sind. Informationen zur Beschreibung der Schwachstelle, des betroffenen IKT-Produkts oder der betroffenen IKT-Dienste sowie zum Ausmaß der Schwachstelle im Hinblick auf die Umstände, unter denen sie ausgenutzt werden kann, Informationen zur Verfügbarkeit entsprechender Patches Bei Nichtverfügbarkeit von Patches werden Orientierungshilfen für die Nutzer gefährdeter IKT-Produkte und -Dienste, wie die von offengelegten Schwachstellen ausgehenden Risiken gemindert werden können, in die Datenbank aufgenommen.

Änderungsantrag 128

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 1 a (neu)


Vorschlag der Kommission	Geänderter Text
	(1a) Benennt ein Mitgliedstaat mehr als eine zuständige Behörde im Sinne von Absatz 1, gibt er eindeutig an, welche dieser zuständigen Behörden als Koordinator für das Management von Sicherheitsvorfällen großen Ausmaßes und Krisen fungiert.

Änderungsantrag 129

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 2


Vorschlag der Kommission	Geänderter Text
(2) Jeder Mitgliedstaat ermittelt die Kapazitäten, Mittel und Verfahren, die im Krisenfall für die Zwecke dieser Richtlinie eingesetzt werden können.	(2) Jeder Mitgliedstaat ermittelt die Kapazitäten, Mittel und Verfahren, die im Fall einer Krise für die Zwecke dieser Richtlinie eingesetzt werden können.

Änderungsantrag 130

Vorschlag für eine Richtlinie

Artikel 7 – Absatz 4


Vorschlag der Kommission	Geänderter Text
(4) Die Mitgliedstaaten teilen der Kommission ihre gemäß Absatz 1 benannten zuständigen Behörden innerhalb von drei Monaten nach der Benennung mit und übermitteln ihre nationalen Pläne für die Reaktion auf Cybersicherheitsvorfälle und -krisen gemäß Absatz 3 innerhalb von drei Monaten nach der Verabschiedung dieser Pläne. Die Mitgliedstaaten können bestimmte Informationen von ihrem Plan ausnehmen, wenn und soweit dies für ihre nationale Sicherheit unbedingt erforderlich ist.	(4) Die Mitgliedstaaten teilen der Kommission ihre gemäß Absatz 1 benannten zuständigen Behörden innerhalb von drei Monaten nach der Benennung mit und übermitteln dem EU-CyCLONe ihre nationalen Pläne für die Reaktion auf Cybersicherheitsvorfälle und -krisen gemäß Absatz 3 innerhalb von drei Monaten nach der Verabschiedung dieser Pläne. Die Mitgliedstaaten können bestimmte Informationen von ihrem Plan ausnehmen, wenn und soweit dies für ihre nationale Sicherheit unbedingt erforderlich ist.

Änderungsantrag 131

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 3


Vorschlag der Kommission	Geänderter Text
(3) Jeder Mitgliedstaat benennt eine für die Cybersicherheit zuständige nationale zentrale Anlaufstelle (im Folgenden „zentrale Anlaufstelle“). Benennt ein Mitgliedstaat nur eine zuständige Behörde, so ist diese zuständige Behörde auch die zentrale Anlaufstelle dieses Mitgliedstaats.	(3) Jeder Mitgliedstaat benennt eine der gemäß Absatz 1 benannten zuständigen Behörden als eine für die Cybersicherheit zuständige nationale zentrale Anlaufstelle (im Folgenden „zentrale Anlaufstelle“). Benennt ein Mitgliedstaat nur eine zuständige Behörde, so ist diese zuständige Behörde auch die zentrale Anlaufstelle dieses Mitgliedstaats.

Änderungsantrag 132

Vorschlag für eine Richtlinie

Artikel 8 – Absatz 4


Vorschlag der Kommission	Geänderter Text
(4) Jede zentrale Anlaufstelle fungiert als Verbindungsstelle, um die grenzüberschreitende Zusammenarbeit der Behörden des Mitgliedstaats mit den entsprechenden Behörden in anderen Mitgliedstaaten sowie die sektorübergreifende Zusammenarbeit mit anderen nationalen zuständigen Behörden innerhalb des Mitgliedstaats zu gewährleisten.	(4) Jede zentrale Anlaufstelle fungiert als Verbindungsstelle, um die grenzüberschreitende Zusammenarbeit der Behörden des Mitgliedstaats mit den entsprechenden Behörden in anderen Mitgliedstaaten, der Kommission und ENISA sowie die sektorübergreifende Zusammenarbeit mit anderen nationalen zuständigen Behörden innerhalb des Mitgliedstaats zu gewährleisten.

Änderungsantrag 133

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 2


Vorschlag der Kommission	Geänderter Text
(2) Die Mitgliedstaaten gewährleisten, dass jedes CSIRT mit angemessenen Ressourcen ausgestattet ist, damit es seine in Artikel 10 Absatz 2 aufgeführten Aufgaben wirksam erfüllen kann.	(2) Die Mitgliedstaaten gewährleisten, dass jedes CSIRT mit angemessenen Ressourcen ausgestattet ist und über die notwendigen technischen Fähigkeiten verfügt, damit es seine in Artikel 10 Absatz 2 aufgeführten Aufgaben wirksam erfüllen kann.

Änderungsantrag 134

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 6 a (neu)


Vorschlag der Kommission	Geänderter Text
	(6a) Die Mitgliedstaaten gewährleisten die Möglichkeit eines wirksamen, effizienten und sicheren Informationsaustauschs auf allen Geheimhaltungsstufen zwischen ihren eigenen CSIRTs und CSIRTs aus Drittländern auf derselben Geheimhaltungsstufe.

Änderungsantrag 135

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 6 b (neu)


Vorschlag der Kommission	Geänderter Text
	(6b) Unbeschadet des Unionsrechts, insbesondere der Verordnung (EU) 2016/679, arbeiten die CSIRTs mit den CSIRTs oder gleichwertigen Einrichtungen in den Kandidatenländern und in anderen Drittländern des westlichen Balkans und der Östlichen Partnerschaft zusammen und leisten ihnen nach Möglichkeit Unterstützung im Bereich der Cybersicherheit.

Änderungsantrag 136

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 7


Vorschlag der Kommission	Geänderter Text
(7) Die Mitgliedstaaten teilen der Kommission unverzüglich die gemäß Absatz 1 benannten CSIRTs, das gemäß Artikel 6 Absatz 1 als Koordinator benannte CSIRT und deren jeweilige in Bezug auf die in den Anhängen I und II genannten Einrichtungen vorgesehenen Aufgaben mit.	(7) Die Mitgliedstaaten teilen der Kommission unverzüglich die gemäß Absatz 1 benannten CSIRTs und das gemäß Artikel 6 Absatz 1 als Koordinator benannte CSIRT, einschließlich deren jeweilige in Bezug auf die wesentlichen und wichtigen Einrichtungen vorgesehenen Aufgaben, mit.

Änderungsantrag 137

Vorschlag für eine Richtlinie

Artikel 10 – Überschrift


Vorschlag der Kommission	Geänderter Text
Anforderungen an die CSIRTs und Aufgaben der CSIRTs	Anforderungen an die CSIRTs sowie technische Kapazitäten und Aufgaben der CSIRTs

Änderungsantrag 138

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1 – Buchstabe c


Vorschlag der Kommission	Geänderter Text
c) Die CSIRTs müssen über ein geeignetes System zur Verwaltung und Weiterleitung von Anfragen verfügen, insbesondere, um wirksame und effiziente Übergaben zu erleichtern;	c) Die CSIRTs müssen über ein geeignetes System zur Klassifizierung, Weiterleitung und Nachverfolgung von Anfragen verfügen, insbesondere, um wirksame und effiziente Übergaben zu erleichtern;

Änderungsantrag 139

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1 – Buchstabe c a (neu)


Vorschlag der Kommission	Geänderter Text
	ca) Die CSIRTs verfügen über geeignete Verhaltenskodizes, um die Vertraulichkeit und Vertrauenswürdigkeit ihrer Tätigkeiten sicherzustellen;

Änderungsantrag 140

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1 – Buchstabe d


Vorschlag der Kommission	Geänderter Text
d) Die CSIRTs müssen personell so ausgestattet sein, dass sie eine ständige Bereitschaft gewährleisten können;	d) Die CSIRTs müssen personell so ausgestattet sein, dass sie eine ständige Bereitschaft gewährleisten können, und müssen einen angemessenen Schulungsrahmen für ihr Personal sicherstellen;

Änderungsantrag 141

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1 – Buchstabe e


Vorschlag der Kommission	Geänderter Text
e) Die CSIRTs müssen über Redundanzsysteme und Ausweicharbeitsräume verfügen, um die Kontinuität ihrer Dienste zu sicherzustellen;	e) Die CSIRTs müssen über Redundanzsysteme und Ausweicharbeitsräume verfügen, um die Kontinuität ihrer Dienste sicherzustellen, einschließlich einer breiten Konnektivität zwischen Netzen sowie Informationssystemen, -diensten und -Geräten;

Änderungsantrag 142

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1 a (neu)


Vorschlag der Kommission	Geänderter Text
	(1a) CSIRTs müssen mindestens die folgenden technischen Fähigkeiten entwickeln:
	a) Fähigkeit zur Echtzeit-Überwachung oder echtzeitnahen Überwachung von Netzen und Informationssystemen und zur Erkennung von Anomalien;
	b) die Fähigkeit zur Unterstützung der Angriffsabwehr und Angriffserkennung;
	c) die Fähigkeit zur Sammlung und Durchführung komplexer forensischer Datenanalysen und zum Reverse Engineering von Cyber-Bedrohungen;
	d) die Fähigkeit zur Filterung von bösartigem Datenverkehr;
	e) die Fähigkeit zur Durchsetzung strenger Authentifizierungs- und Zugangsberechtigungen und -kontrollen sowie
	f) die Fähigkeit zur Analyse von Cyber-Bedrohungen.

Änderungsantrag 143

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2 – Buchstabe a


Vorschlag der Kommission	Geänderter Text
a) Überwachung von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene;	a) Überwachung von Cyberbedrohungen, Schwachstellen und Sicherheitsvorfällen auf nationaler Ebene und Sammlung von Erkenntnissen über Bedrohungen in Echtzeit;;

Änderungsantrag 144

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2 – Buchstabe b


Vorschlag der Kommission	Geänderter Text
b) Ausgabe von Frühwarnungen und Alarmmeldungen sowie Bekanntmachung und Weitergabe von Informationen über Cyberbedrohungen, Schwachstellen und Sicherheitsvorfälle an die wesentlichen und wichtigen Einrichtungen sowie andere interessierte Kreise;	b) Ausgabe von Frühwarnungen und Alarmmeldungen sowie Bekanntmachung und Weitergabe von Informationen über Cyberbedrohungen, Schwachstellen und Sicherheitsvorfälle an die wesentlichen und wichtigen Einrichtungen sowie andere interessierte Kreise, möglichst echtzeitnah;

Änderungsantrag 145

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2 – Buchstabe c


Vorschlag der Kommission	Geänderter Text
c) Reaktion auf Sicherheitsvorfälle;	c) Reaktion auf Sicherheitsvorfälle und Unterstützung der betroffenen Einrichtungen;

Änderungsantrag 146

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2 – Buchstabe e


Vorschlag der Kommission	Geänderter Text
e) auf Ersuchen einer Einrichtung Durchführung einer proaktiven Überprüfung der für die Bereitstellung ihrer Dienste verwendeten Netz- und Informationssysteme auf Schwachstellen (Schwachstellenscan);	e) auf Ersuchen einer Einrichtung oder im Falle einer ernsthaften Bedrohung für die nationale Sicherheit, Durchführung einer proaktiven Überprüfung der für die Bereitstellung ihrer Dienste verwendeten Netz- und Informationssysteme auf Schwachstellen (Schwachstellenscan);

Änderungsantrag 147

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2 – Buchstabe f a (neu)


Vorschlag der Kommission	Geänderter Text
	fa) auf Ersuchen einer Einrichtung die Aktivierung und Konfiguration der Netzwerkprotokollierung zum Schutz von Daten, einschließlich personenbezogener Daten, vor unbefugtem Abgreifen;

Änderungsantrag 148

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2 – Buchstabe f b (neu)


Vorschlag der Kommission	Geänderter Text
	fb) Beitrag zum Einsatz sicherer Instrumente für den Informationsaustausch gemäß Artikel 9 Absatz 3.

Änderungsantrag 149

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 4 – Einleitung


Vorschlag der Kommission	Geänderter Text
(4) Zur Erleichterung der Zusammenarbeit fördern die CSIRTs die Annahme und Anwendung gemeinsamer oder standardisierter Verfahren für Klassifizierungssysteme und Taxonomien für	(4) Zur Erleichterung der Zusammenarbeit fördern die CSIRTs die Automatisierung des Informationsaustauschs, die Annahme und Anwendung gemeinsamer oder standardisierter Verfahren für Klassifizierungssysteme und Taxonomien für

Änderungsantrag 150

Vorschlag für eine Richtlinie

Artikel 11 – Absatz 2


Vorschlag der Kommission	Geänderter Text
(2) Die Mitgliedstaaten stellen sicher, dass Meldungen von Sicherheitsvorfällen, erheblichen Cyberbedrohungen und Beinahe-Vorfällen gemäß dieser Richtlinie entweder ihren zuständigen Behörden oder ihren CSIRTs übermittelt werden. Entscheidet ein Mitgliedstaat, dass diese Meldungen nicht an seine CSIRTs zu richten sind, so wird den CSIRTs in dem zur Wahrnehmung ihrer Aufgaben erforderlichen Umfang Zugang zu den Daten über Sicherheitsvorfälle gewährt, die gemäß Artikel 20 von wesentlichen oder wichtigen Einrichtungen gemeldet werden.	(2) Die Mitgliedstaaten stellen sicher, dass Meldungen von erheblichen Sicherheitsvorfällen gemäß Artikel 20 sowie von Cyberbedrohungen und Beinahe-Vorfällen gemäß Artikel 27 über die zentrale Anlaufstelle gemäß Artikel 20 Absatz 4a ihren CSIRTs übermittelt werden.

Änderungsantrag 151

Vorschlag für eine Richtlinie

Artikel 11 – Absatz 4


Vorschlag der Kommission	Geänderter Text
(4) Soweit dies zur wirksamen Wahrnehmung der in dieser Richtlinie festgelegten Aufgaben und Pflichten erforderlich ist, sorgen die Mitgliedstaaten für eine angemessene Zusammenarbeit zwischen den zuständigen Behörden und den zentralen Anlaufstellen sowie den Strafverfolgungsbehörden, den Datenschutzbehörden, den gemäß der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] für kritische Infrastrukturen zuständigen Behörden und den gemäß der Verordnung (EU) XXXX/XXXX des Europäischen Parlaments und des Rates39 [DORA-Verordnung] in dem jeweiligen Mitgliedstaat benannten nationalen Finanzbehörden.	(4) Soweit dies zur wirksamen Wahrnehmung der in dieser Richtlinie festgelegten Aufgaben und Pflichten erforderlich ist, sorgen die Mitgliedstaaten für eine angemessene Zusammenarbeit zwischen den zuständigen Behörden, den zentralen Anlaufstellen, den CSIRTs, den Strafverfolgungsbehörden, den nationalen Regulierungsbehörden oder anderen zuständigen Behörden, die für öffentliche elektronische Kommunikationsnetze oder für öffentlich zugängliche elektronische Kommunikationsdienste gemäß der Richtlinie (EU) 2018/1972 zuständig sind, den Datenschutzbehörden, den gemäß der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] für kritische Infrastrukturen zuständigen Behörden und den gemäß der Verordnung (EU) XXXX/XXXX des Europäischen Parlaments und des Rates39 [DORA-Verordnung] in dem jeweiligen Mitgliedstaat benannten nationalen Finanzbehörden, die im Einklang mit den jeweiligen Zuständigkeiten der Einrichtungen erfolgt.
__________________	__________________
39 [vollständigen Titel und Fundstelle im Amtsblatt einfügen, sobald bekannt].	39 [vollständigen Titel und Fundstelle im Amtsblatt einfügen, sobald bekannt].

Änderungsantrag 152

Vorschlag für eine Richtlinie

Artikel 11 – Absatz 5


Vorschlag der Kommission	Geänderter Text
(5) Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden die gemäß der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] benannten zuständigen Behörden regelmäßig über Cybersicherheitsrisiken, Cyberbedrohungen und Sicherheitsvorfälle unterrichten, die als kritische Einrichtungen oder kritischen Einrichtungen gleichgestellte Einrichtungen gemäß der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] ermittelte wesentliche Einrichtungen betreffen, sowie über die von den zuständigen Behörden als Reaktion auf diese Risiken und Sicherheitsvorfälle ergriffenen Maßnahmen.	(5) Die Mitgliedstaaten stellen sicher, dass ihre zuständigen Behörden die gemäß der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] benannten zuständigen Behörden regelmäßig und zeitnah über Cybersicherheitsrisiken, Cyberbedrohungen und Sicherheitsvorfälle unterrichten, die als kritische Einrichtungen oder kritischen Einrichtungen gleichgestellte Einrichtungen gemäß der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] ermittelte wesentliche Einrichtungen betreffen, sowie über die von den zuständigen Behörden als Reaktion auf diese Risiken und Sicherheitsvorfälle ergriffenen Maßnahmen.

Änderungsantrag 153

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 3 – Unterabsatz 1


Vorschlag der Kommission	Geänderter Text
Die Kooperationsgruppe setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen. Der Europäische Auswärtige Dienst nimmt an den Tätigkeiten der Kooperationsgruppe als Beobachter teil. Die Europäischen Aufsichtsbehörden (ESAs) können sich gemäß Artikel 17 Absatz 5 Buchstabe c der Verordnung (EU) XXXX/XXXX [DORA-Verordnung] an den Tätigkeiten der Kooperationsgruppe beteiligen.	Die Kooperationsgruppe setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen. Das Europäische Parlament und der Europäische Auswärtige Dienst nehmen an den Tätigkeiten der Kooperationsgruppe als Beobachter teil. Die Europäischen Aufsichtsbehörden (ESAs) können sich gemäß Artikel 17 Absatz 5 Buchstabe c der Verordnung (EU) XXXX/XXXX [DORA-Verordnung] an den Tätigkeiten der Kooperationsgruppe beteiligen.

Änderungsantrag 154

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 3 – Unterabsatz 2


Vorschlag der Kommission	Geänderter Text
Gegebenenfalls kann die Kooperationsgruppe Vertreter der maßgeblichen Interessenträger einladen, an ihren Arbeiten teilzunehmen.	Gegebenenfalls kann die Kooperationsgruppe Vertreter der maßgeblichen Interessenträger wie den Europäischen Datenschutzausschuss und Vertreter der Industrie einladen, an ihren Arbeiten teilzunehmen.

Änderungsantrag 155

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe b


Vorschlag der Kommission	Geänderter Text
b) Austausch bewährter Verfahren und Informationsaustausch im Zusammenhang mit der Umsetzung dieser Richtlinie, auch in Bezug auf Cyberbedrohungen, Sicherheitsvorfälle, Schwachstellen, Beinahe-Vorfälle, Sensibilisierungsinitiativen, Schulungen, Übungen und Kompetenzen, Kapazitätsaufbau sowie Normen und technische Spezifikationen;	b) Austausch bewährter Verfahren und Informationsaustausch im Zusammenhang mit der Umsetzung dieser Richtlinie, auch in Bezug auf Cyberbedrohungen, Sicherheitsvorfälle, Schwachstellen, Beinahe-Vorfälle, Sensibilisierungsinitiativen, Schulungen, Übungen und Kompetenzen, Kapazitätsaufbau sowie Normen und technische Spezifikationen sowie Bestimmung wesentlicher und wichtiger Einrichtungen;

Änderungsantrag 156

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe b a (neu)


Vorschlag der Kommission	Geänderter Text
	ba) Vornahme einer Bestandsaufnahme der nationalen Lösungen, um die Kompatibilität von Cybersicherheitslösungen zu fördern, die für die einzelnen spezifischen Branchen in der gesamten Union angewendet werden;

Änderungsantrag 157

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe c


Vorschlag der Kommission	Geänderter Text
c) beratender Austausch und Zusammenarbeit mit der Kommission in Bezug auf neue politische Initiativen im Bereich der Cybersicherheit;	c) beratender Austausch und Zusammenarbeit mit der Kommission in Bezug auf neue politische Initiativen im Bereich der Cybersicherheit und die allgemeine Kohärenz der sektorspezifischen Anforderungen an die Cybersicherheit;

Änderungsantrag 158

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe f


Vorschlag der Kommission	Geänderter Text
f) Erörterung von Berichten über die in Artikel 16 Absatz 7 genannten Peer Reviews;	f) Erörterung von Berichten über die in Artikel 16 Absatz 7 genannten Peer-Reviews und Ausarbeitung von Schlussfolgerungen und Empfehlungen;

Änderungsantrag 159

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe f a (neu)


Vorschlag der Kommission	Geänderter Text
	fa) Durchführung von koordinierten Bewertungen der Sicherheitsrisiken, die gemäß Artikel 19 Absatz 1 eingeleitet werden können, in Zusammenarbeit mit der Kommission und der ENISA;

Änderungsantrag 160

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe k a (neu)


Vorschlag der Kommission	Geänderter Text
	ka) Übermittlung von Berichten über die auf strategischer und operativer Ebene gewonnenen Erfahrungen an die Kommission zum Zwecke der Überprüfung gemäß Artikel 35;

Änderungsantrag 161

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 4 – Buchstabe k b (neu)


Vorschlag der Kommission	Geänderter Text
	kb) Vorlage einer in Zusammenarbeit mit ENISA, Europol und nationalen Strafverfolgungsbehörden erarbeiteten jährlichen Bewertung der Drittländer, in denen Ransomware-Kriminelle ihr Unwesen treiben können.

Änderungsantrag 162

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 8


Vorschlag der Kommission	Geänderter Text
(8) Die Kooperationsgruppe tagt regelmäßig, mindestens aber einmal jährlich gemeinsam mit der mit der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] eingerichteten Gruppe für die Resilienz kritischer Einrichtungen, um die strategische Zusammenarbeit und den Informationsaustausch zu fördern.	(8) Die Kooperationsgruppe tagt regelmäßig, mindestens aber zweimal jährlich gemeinsam mit der mit der Richtlinie (EU) XXXX/XXXX [Richtlinie über die Resilienz kritischer Einrichtungen] eingerichteten Gruppe für die Resilienz kritischer Einrichtungen, um die strategische Zusammenarbeit und den Informationsaustausch zu erleichtern.

Änderungsantrag 163

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 3 – Buchstabe a 4 (neu)


Vorschlag der Kommission	Geänderter Text
	aa) Erleichterung des Transfers und des Austauschs von Technologie sowie relevanten Maßnahmen, Strategien, bewährten Verfahren und Rahmenbedingungen zwischen den CSIRTs;

Änderungsantrag 164

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 3 – Buchstabe b a (neu)


Vorschlag der Kommission	Geänderter Text
	ba) Gewährleistung der Interoperabilität in Bezug auf die Standards des Informationsaustauschs;

Änderungsantrag 165

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 1


Vorschlag der Kommission	Geänderter Text
(1) Zur Unterstützung des koordinierten Managements massiver Cybersicherheitsvorfälle und -krisen auf operativer Ebene und zur Gewährleistung eines regelmäßigen Informationsaustauschs zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Agenturen der Union wird hiermit das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network, EU-CyCLONe) eingerichtet.	(1) Zur Unterstützung des koordinierten Managements massiver Cybersicherheitsvorfälle und -krisen auf operativer Ebene und zur Gewährleistung eines regelmäßigen Austauschs relevanter Informationen zwischen den Mitgliedstaaten und den Organen, Einrichtungen und Agenturen der Union wird hiermit das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network, EU-CyCLONe) eingerichtet.

Änderungsantrag 166

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2


Vorschlag der Kommission	Geänderter Text
(2) EU-CyCLONe setzt sich aus den Vertretern der gemäß Artikel 7 benannten für das Krisenmanagement zuständigen Behörden der Mitgliedstaaten, der Kommission und der ENISA zusammen. ENISA führt die Sekretariatsgeschäfte des Netzwerks und unterstützt den sicheren Informationsaustausch.	(2) EU-CyCLONe setzt sich aus den Vertretern der gemäß Artikel 7 benannten für das Krisenmanagement zuständigen Behörden der Mitgliedstaaten, der Kommission und der ENISA zusammen. ENISA führt die Sekretariatsgeschäfte des EU-CyCLONe und unterstützt den sicheren Informationsaustausch.

Änderungsantrag 167

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 5


Vorschlag der Kommission	Geänderter Text
(5) EU-CyCLONe erstattet der Kooperationsgruppe regelmäßig Bericht über Cyberbedrohungen, Sicherheitsvorfälle und Trends, wobei der Schwerpunkt insbesondere auf deren Auswirkungen auf wesentliche und wichtige Einrichtungen liegt.	(5) EU-CyCLONe erstattet der Kooperationsgruppe regelmäßig Bericht über Sicherheitsvorfälle großen Ausmaßes und Krisen sowie Trends, wobei der Schwerpunkt insbesondere auf deren Auswirkungen auf wesentliche und wichtige Einrichtungen liegt.

Änderungsantrag 168

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 1 – Einleitung


Vorschlag der Kommission	Geänderter Text
(1) Die ENISA veröffentlicht in Zusammenarbeit mit der Kommission einen zweijährlichen Bericht über den Stand der Cybersicherheit in der Union. Dieser Bericht muss insbesondere Folgendes enthalten:	(1) Die ENISA veröffentlicht in Zusammenarbeit mit der Kommission einen zweijährlichen Bericht über den Stand der Cybersicherheit in der Union und legt ihn dem Europäischen Parlament vor. Dieser Bericht muss in einem maschinenlesbaren Format erstellt werden und insbesondere Folgendes enthalten:

Änderungsantrag 169

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 1 – Buchstabe a a (neu)


Vorschlag der Kommission	Geänderter Text
	aa) den allgemeinen Grad von Cybersicherheitsbewusstsein und ‑hygiene bei den Bürgerinnen und Bürgern sowie des allgemeinen Sicherheitsniveaus bei vernetzten Geräten;

Änderungsantrag 170

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 1 – Buchstabe c


Vorschlag der Kommission	Geänderter Text
c) einen Cybersicherheitsindex für eine aggregierte Bewertung des Entwicklungsstands der Cybersicherheitskapazitäten.	c) einen Cybersicherheitsindex für eine aggregierte Bewertung des Entwicklungsstands der Cybersicherheitskapazitäten in der gesamten Union, einschließlich der Angleichung der nationalen Cybersicherheitsstrategien der Mitgliedstaaten;

Änderungsantrag 171

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 2


Vorschlag der Kommission	Geänderter Text
(2) Der Bericht muss insbesondere politische Empfehlungen zur Erhöhung des Cybersicherheitsniveaus in der gesamten Union und eine Zusammenfassung der Ergebnisse der von der ENISA gemäß Artikel 7 Absatz 6 der Verordnung (EU) 2019/881 für den entsprechenden Zeitraum erstellten technischen EU-Cybersicherheitslageberichte umfassen.	(2) Der Bericht muss insbesondere die Ermittlung von Hindernissen und politische Empfehlungen zur Erhöhung des Cybersicherheitsniveaus in der gesamten Union und eine Zusammenfassung der Ergebnisse der von der ENISA gemäß Artikel 7 Absatz 6 der Verordnung (EU) 2019/881 für den entsprechenden Zeitraum erstellten technischen EU-Cybersicherheitslageberichte umfassen.

Änderungsantrag 172

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 2 a (neu)


Vorschlag der Kommission	Geänderter Text
	(2a) Die ENISA erarbeitet in Zusammenarbeit mit der Kommission und unter Anleitung der Kooperationsgruppe und des CSIRT-Netzes die Methodik, einschließlich der einschlägigen Variablen des in Absatz 1 Buchstabe c genannten Cybersicherheitsindexes.

Änderungsantrag 173

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 1 – Einleitung


Vorschlag der Kommission	Geänderter Text
(1) Nach Konsultation der Kooperationsgruppe und der ENISA legt die Kommission spätestens 18 Monate nach Inkrafttreten dieser Richtlinie die Methode und den Inhalt eines Peer-Review-Systems zur Bewertung der Wirksamkeit der Cybersicherheitskonzepte der Mitgliedstaaten fest. Die Peer Reviews werden von technischen Sachverständigen für Cybersicherheit aus anderen als den überprüften Mitgliedstaaten durchgeführt und erstrecken sich mindestens auf Folgendes:	(1) Nach Konsultation der Kooperationsgruppe und der ENISA legt die Kommission spätestens zum ... [18 Monate nach Inkrafttreten dieser Richtlinie] die Methode und den Inhalt eines Peer-Review-Systems zur Bewertung der Wirksamkeit der Cybersicherheitskonzepte der Mitgliedstaaten fest. Die Peer-Reviews werden in Absprache mit der ENISA von technischen Sachverständigen für Cybersicherheit aus wenigstens zwei anderen als den überprüften Mitgliedstaaten durchgeführt und erstrecken sich mindestens auf Folgendes:

Änderungsantrag 174

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 1 – Ziffer iii


Vorschlag der Kommission	Geänderter Text
iii) die operativen Kapazitäten und die Wirksamkeit der CSIRTs;	iii) die operativen Kapazitäten und die Wirksamkeit der CSIRTs bei der Wahrnehmung ihrer Aufgaben;

Änderungsantrag 175

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 3


Vorschlag der Kommission	Geänderter Text
(3) Die organisatorischen Aspekte der Peer Reviews werden von der Kommission mit Unterstützung der ENISA beschlossen und beruhen nach Konsultation der Kooperationsgruppe auf Kriterien, die in der in Absatz 1 genannten Methode festgelegt sind. Bei den Peer Reviews werden für alle Mitgliedstaaten und Sektoren die in Absatz 1 genannten Aspekte bewertet, einschließlich gezielter Fragen, die speziell einen oder mehrere Mitgliedstaaten oder einen oder mehrere Sektoren betreffen.	(3) Die organisatorischen Aspekte der Peer Reviews werden von der Kommission mit Unterstützung der ENISA beschlossen und beruhen nach Konsultation der Kooperationsgruppe auf Kriterien, die in der in Absatz 1 genannten Methode festgelegt sind. Bei den Peer Reviews werden für alle Mitgliedstaaten und Sektoren die in Absatz 1 genannten Aspekte bewertet, einschließlich gezielter Fragen, die speziell einen oder mehrere Mitgliedstaaten oder einen oder mehrere Sektoren betreffen. Die benannten Sachverständigen, die die Überprüfung durchführen, teilen dem Mitgliedstaat, der der Peer-Review unterliegt, diese gezielten Fragen vor Beginn der Überprüfung mit.

Änderungsantrag 176

Vorschlag für eine Richtlinie