1. Jeder Mitgliedstaat stellt sicher, dass wesentliche und wichtige Einrichtungen unverzüglich sein CSIRT oder gegebenenfalls seine zuständige Behörde gemäß Absatz 4 über alle VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) die eine erhebliche Auswirkung auf die Erbringung ihrer Dienste im Sinne von Absatz 3 (erhebliches Ereignis) hat. Gegebenenfalls unterrichten die betreffenden Stellen die Empfänger ihrer Dienste unverzüglich über erhebliche Vorfälle, die sich wahrscheinlich negativ auf die Erbringung dieser Dienste auswirken werden. Jeder Mitgliedstaat stellt sicher, dass diese Stellen unter anderem alle Informationen melden, die es dem CSIRT oder gegebenenfalls der zuständigen Behörde ermöglichen, etwaige grenzüberschreitende Auswirkungen des Vorfalls festzustellen. Die bloße Meldung ist für die meldende Stelle nicht bindend. UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) zu einer erhöhten Haftung.
Melden die betroffenen Stellen der zuständigen Behörde einen bedeutenden Vorfall gemäß Unterabsatz 1, so stellt der Mitgliedstaat sicher, dass diese zuständige Behörde die Meldung nach Erhalt an das CSIRT weiterleitet.
Im Falle eines grenz- oder sektorübergreifenden bedeutenden Vorkommnisses stellen die Mitgliedstaaten sicher, dass ihre einheitlichen Ansprechpartner rechtzeitig mit den gemäß Absatz 4 gemeldeten einschlägigen Informationen versorgt werden.
2. (2) Die Mitgliedstaaten stellen gegebenenfalls sicher, dass wesentliche und wichtige Einrichtungen den Empfängern ihrer Dienste, die potenziell von einer Katastrophe betroffen sind, unverzüglich Folgendes mitteilen erhebliche Cyber-BedrohungErhebliche Cyber-Bedrohung Bezeichnet eine Cyber-Bedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf das Netz und die Informationssysteme einer Einrichtung oder die Nutzer der Dienste der Einrichtung zu haben, indem sie erhebliche materielle oder immaterielle Schäden verursacht. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) alle Maßnahmen oder Abhilfemaßnahmen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können. Gegebenenfalls unterrichten die Stellen diese Empfänger auch über die erhebliche Cyber-Bedrohung selbst.
3. Ein Ereignis gilt als signifikant, wenn:
(a) sie eine schwerwiegende Störung des Betriebs der Dienste oder einen finanziellen Verlust für die betreffende Stelle verursacht hat oder verursachen kann;
(b) sie andere natürliche oder juristische Personen beeinträchtigt hat oder beeinträchtigen kann, indem sie einen erheblichen materiellen oder immateriellen Schaden verursacht.
4. (4) Die Mitgliedstaaten stellen sicher, dass die betroffenen Einrichtungen für die Zwecke der Meldung nach Absatz 1 das CSIRT oder gegebenenfalls die zuständige Behörde unterrichten:
(a) unverzüglich, auf jeden Fall aber innerhalb von 24 Stunden nach Bekanntwerden des bedeutsamen Vorkommnisses, eine Frühwarnung, in der gegebenenfalls angegeben wird, ob das bedeutende Vorkommnis vermutlich durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte;
(b) unverzüglich, auf jeden Fall aber innerhalb von 72 Stunden, nachdem sie von dem bedeutsamen Vorkommnis Kenntnis erlangt hat, eine Meldung über das Vorkommnis, in der gegebenenfalls die unter Buchstabe a genannten Informationen aktualisiert werden und eine erste Bewertung des bedeutsamen Vorkommnisses, einschließlich der Schwere und der Auswirkungen, sowie, soweit verfügbar, die Indikatoren für eine Kompromittierung angegeben werden;
(c) auf Ersuchen eines CSIRT oder gegebenenfalls der zuständigen Behörde einen Zwischenbericht über relevante Statusaktualisierungen;
(d) spätestens einen Monat nach Übermittlung der Meldung des Vorfalls gemäß Buchstabe b) einen Abschlussbericht, der Folgendes enthält:
(i) eine ausführliche Beschreibung des Vorfalls, einschließlich seiner Schwere und Auswirkungen;
(ii) die Art der Bedrohung oder die Ursache, die wahrscheinlich den Vorfall ausgelöst hat;
(iii) angewandte und laufende Abhilfemaßnahmen;
(iv) gegebenenfalls die grenzüberschreitenden Auswirkungen des Vorfalls;
(e) Ist ein Vorfall zum Zeitpunkt der Vorlage des unter Buchstabe d genannten Abschlussberichts noch nicht abgeschlossen, so stellen die Mitgliedstaaten sicher, dass die betroffenen Einrichtungen zu diesem Zeitpunkt einen Fortschrittsbericht und innerhalb eines Monats einen Abschlussbericht über die Behandlung des Vorfalls vorlegen.
Abweichend von Unterabsatz 1 Buchstabe b) kann ein TreuhanddienstleisterVertrauensdiensteanbieter Bezeichnet eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste entweder als qualifizierter oder als nicht qualifizierter Vertrauensdiensteanbieter erbringt - Definition gemäß Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014 benachrichtigt das CSIRT oder gegebenenfalls die zuständige Behörde unverzüglich, in jedem Fall aber innerhalb von 24 Stunden nach Bekanntwerden eines bedeutenden Vorfalls, der sich auf die Erbringung seiner Vertrauensdienste auswirkt.
5. (5) Das CSIRT oder die zuständige Behörde übermitteln der meldenden Stelle unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung gemäß Absatz 4 Buchstabe a eine Antwort, einschließlich einer ersten Rückmeldung zu dem bedeutsamen Vorfall und - auf Ersuchen der Stelle - einer Anleitung oder operativen Beratung zur Durchführung möglicher Abhilfemaßnahmen. Ist das CSIRT nicht der ursprüngliche Empfänger der in Absatz 1 genannten Meldung, so werden die Leitlinien von der zuständigen Behörde in Zusammenarbeit mit dem CSIRT bereitgestellt. Das CSIRT leistet zusätzliche technische Unterstützung, wenn die betroffene Stelle dies wünscht. Besteht der Verdacht, dass der schwerwiegende Vorfall strafrechtlicher Natur ist, so gibt das CSIRT oder die zuständige Behörde auch Hinweise zur Meldung des schwerwiegenden Vorfalls an die Strafverfolgungsbehörden.
6. (6) Gegebenenfalls und insbesondere dann, wenn der bedeutsame Vorfall zwei oder mehr Mitgliedstaaten betrifft, unterrichtet das CSIRT, die zuständige Behörde oder der einheitliche Ansprechpartner die anderen betroffenen Mitgliedstaaten und die ENISA ohne unangemessene Verzögerung über den bedeutsamen Vorfall. Diese Unterrichtung umfasst die Art der eingegangenen Informationen gemäß Absatz 4. Dabei wahren das CSIRT, die zuständige Behörde oder die zentrale Kontaktstelle im Einklang mit dem Unionsrecht oder dem nationalen Recht die Sicherheits- und Geschäftsinteressen der Einrichtung sowie die Vertraulichkeit der übermittelten Informationen.
7. (7) Ist die Sensibilisierung der Öffentlichkeit erforderlich, um ein bedeutsames Vorkommnis zu verhindern oder ein laufendes bedeutsames Vorkommnis zu bewältigen, oder liegt die Bekanntgabe des bedeutsamen Vorkommnisses anderweitig im öffentlichen Interesse, so kann das CSIRT eines Mitgliedstaats oder gegebenenfalls seine zuständige Behörde und gegebenenfalls die CSIRTs oder die zuständigen Behörden anderer betroffener Mitgliedstaaten nach Konsultation der betroffenen Stelle die Öffentlichkeit über das bedeutende Vorkommnis informieren oder die Stelle dazu auffordern.
8. Auf Ersuchen des CSIRT oder der zuständigen Behörde leitet der einheitliche Ansprechpartner die gemäß Absatz 1 eingegangenen Meldungen an die einheitlichen Ansprechpartner der anderen betroffenen Mitgliedstaaten weiter.
9. (9) Der einheitliche Ansprechpartner legt der ENISA alle drei Monate einen zusammenfassenden Bericht vor, der anonymisierte und aggregierte Daten über erhebliche Vorfälle, Zwischenfälle, Cyberbedrohungen und Beinaheunfälle enthält, die gemäß Absatz 1 dieses Artikels und Artikel 30 gemeldet wurden. Um zur Bereitstellung vergleichbarer Informationen beizutragen, kann die ENISA technische Leitlinien für die Parameter der in den zusammenfassenden Bericht aufzunehmenden Informationen festlegen. Die ENISA unterrichtet die Kooperationsgruppe und das CSIRT-Netz alle sechs Monate über ihre Erkenntnisse zu den eingegangenen Meldungen.
10. Die CSIRTs oder gegebenenfalls die zuständigen Behörden übermitteln den gemäß der Richtlinie (EU) 2022/2557 zuständigen Behörden Informationen über erhebliche Vorfälle, Zwischenfälle, Cyberbedrohungen und Beinaheunfälle, die gemäß Absatz 1 dieses Artikels und Artikel 30 von Einrichtungen gemeldet wurden, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft sind.
11. (11) Die Kommission kann Durchführungsrechtsakte erlassen, in denen die Art der Informationen, das Format und das Verfahren für eine gemäß Absatz 1 dieses Artikels und gemäß Artikel 30 übermittelte Meldung sowie für eine gemäß Absatz 2 dieses Artikels übermittelte Mitteilung näher bestimmt werden.
Bis zum 17. Oktober 2024 wird die Kommission in Bezug auf die Anbieter von DNS-Diensten und die TLD-Namensregistrierungsstellen, Cloud-Computing-DienstCloud Computing-Dienst Bezeichnet einen digitalen Dienst, der eine bedarfsgerechte Verwaltung und einen umfassenden Fernzugriff auf einen skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen über mehrere Standorte verteilt sind. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, RechenzentrumsdienstDienst des Datenzentrums bezeichnet einen Dienst, der Strukturen oder Gruppen von Strukturen umfasst, die der zentralen Unterbringung, der Zusammenschaltung und dem Betrieb von IT- und Netzwerkausrüstungen dienen, die Datenspeicherungs-, -verarbeitungs- und -transportdienste erbringen, sowie alle Einrichtungen und Infrastrukturen für die Stromverteilung und Umgebungskontrolle. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, Content-Delivery-NetzwerkNetzwerk zur Bereitstellung von Inhalten Bezeichnet ein Netz geografisch verteilter Server, das im Auftrag von Inhalts- und Diensteanbietern eine hohe Verfügbarkeit, Zugänglichkeit oder schnelle Bereitstellung digitaler Inhalte und Dienste für Internetnutzer gewährleisten soll. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Anbieter, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für soziale Netzwerke Durchführungsrechtsakte erlassen, in denen die Fälle, in denen ein Vorfall als wesentlich im Sinne von Absatz 3 anzusehen ist, näher bestimmt werden. Die Kommission kann solche Durchführungsrechtsakte in Bezug auf andere wesentliche und bedeutende Einrichtungen erlassen.
Die Kommission tauscht mit der Kooperationsgruppe gemäß Artikel 14 Absatz 4 Buchstabe e Ratschläge zu den in den Unterabsätzen 1 und 2 des vorliegenden Absatzes genannten Entwürfen von Durchführungsrechtsakten aus und arbeitet mit ihr zusammen.
Diese Durchführungsrechtsakte werden nach dem in Artikel 39 Absatz 2 genannten Prüfverfahren erlassen.