1. Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in Anhang I oder II genannten Art, die als mittlere Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG gelten oder die in Absatz 1 des genannten Artikels vorgesehenen Höchstgrenzen für mittlere Unternehmen überschreiten und ihre Dienstleistungen oder Tätigkeiten in der Union erbringen.
Artikel 3 Absatz 4 des Anhangs der genannten Empfehlung gilt nicht für die Zwecke der vorliegenden Richtlinie.
2. Unabhängig von ihrer Größe gilt diese Richtlinie auch für Einrichtungen der in Anhang I oder II genannten Art, wenn:
(a) Die Dienstleistungen werden erbracht von:
(i) Anbieter öffentlicher elektronischer Kommunikationsnetze oder öffentlich zugänglicher elektronischer Kommunikationsdienste;
(ii) TreuhandserviceVertrauensdienst Bezeichnet einen elektronischen Dienst, der in der Regel gegen Entgelt erbracht wird und Folgendes umfasst: a) die Erstellung, Überprüfung und Validierung elektronischer Signaturen, elektronischer Siegel oder elektronischer Zeitstempel, elektronischer Einschreibedienste und damit zusammenhängender Zertifikate oder b) die Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder c) die Aufbewahrung von elektronischen Signaturen, Siegeln oder Zertifikaten im Zusammenhang mit diesen Diensten - Definition gemäß Artikel 3 Nummer 16 der Verordnung (EU) Nr. 910/2014 Anbieter;
(iii) Register für Bereichsnamen der obersten Stufe und Anbieter von Bereichsnamensystemen;
(b) die UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) in einem Mitgliedstaat der einzige Erbringer einer Dienstleistung ist, die für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten wesentlich ist;
(c) die Unterbrechung des von der Stelle erbrachten Dienstes könnte erhebliche Auswirkungen auf die öffentliche Sicherheit, die öffentliche Ordnung oder die öffentliche Gesundheit haben;
(d) eine Unterbrechung der von dem Unternehmen erbrachten Dienstleistung könnte zu einer erheblichen systemischen RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)insbesondere für Sektoren, in denen eine solche Störung grenzüberschreitende Auswirkungen haben könnte;
(e) die Stelle ist wegen ihrer besonderen Bedeutung auf nationaler oder regionaler Ebene für den betreffenden Sektor oder die betreffende Art von Dienstleistung oder für andere voneinander abhängige Sektoren in dem Mitgliedstaat kritisch;
(f) das Unternehmen ist ein öffentliche VerwaltungseinheitEinheit der öffentlichen Verwaltung Eine Einrichtung, die in einem Mitgliedstaat nach nationalem Recht als solche anerkannt ist, mit Ausnahme der Justiz, der Parlamente und der Zentralbanken, und die folgende Kriterien erfüllt: (a) Sie ist zur Deckung eines Bedarfs von allgemeinem Interesse gegründet worden und hat keinen industriellen oder kommerziellen Charakter; b) sie besitzt Rechtspersönlichkeit oder ist gesetzlich befugt, im Namen einer anderen Einrichtung mit Rechtspersönlichkeit zu handeln; (c) sie wird überwiegend vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts finanziert, unterliegt hinsichtlich ihrer Leitung der Aufsicht durch diese Körperschaften oder Einrichtungen oder verfügt über ein Verwaltungs-, Leitungs- oder Aufsichtsorgan, dessen Mitglieder mehrheitlich vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts ernannt werden; d) sie ist befugt, an natürliche oder juristische Personen Verwaltungs- oder Regulierungsentscheidungen zu richten, die deren Rechte im grenzüberschreitenden Personen-, Waren-, Dienstleistungs- oder Kapitalverkehr berühren. - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie):
(i) der Zentralregierung, wie sie von einem Mitgliedstaat im Einklang mit dem nationalen Recht definiert wird, oder
(ii) auf regionaler Ebene, wie von einem Mitgliedstaat im Einklang mit nationalem Recht festgelegt, der nach einer risikobasierten Bewertung Dienste erbringt, deren Unterbrechung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Aktivitäten haben könnte.
3. Unabhängig von ihrer Größe gilt diese Richtlinie für Einrichtungen, die gemäß der Richtlinie (EU) 2022/2557 als kritische Einrichtungen eingestuft sind.
4. Unabhängig von ihrer Größe gilt diese Richtlinie für Einrichtungen, die Dienste zur Registrierung von Domänennamen anbieten.
5. Die Mitgliedstaaten können vorsehen, dass diese Richtlinie gilt für:
(a) öffentliche Verwaltungseinrichtungen auf lokaler Ebene;
(b) Bildungseinrichtungen, insbesondere wenn sie kritische Forschungstätigkeiten durchführen.
6. Diese Richtlinie berührt nicht die Verantwortung der Mitgliedstaaten für den Schutz der nationalen Sicherheit und ihre Befugnis, andere wesentliche staatliche Aufgaben zu gewährleisten, einschließlich der Gewährleistung der territorialen Integrität des Staates und der Aufrechterhaltung von Recht und Ordnung.
7. Diese Richtlinie gilt nicht für Einrichtungen der öffentlichen Verwaltung, die ihre Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, ausüben.
8. (8) Die Mitgliedstaaten können bestimmte Stellen, die Tätigkeiten in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten, ausüben oder die ausschließlich für die in Absatz 7 des vorliegenden Artikels genannten Stellen der öffentlichen Verwaltung Dienstleistungen erbringen, von den in Artikel 21 oder 23 festgelegten Verpflichtungen in Bezug auf diese Tätigkeiten oder Dienstleistungen ausnehmen. In diesen Fällen finden die in Kapitel VII genannten Überwachungs- und Durchsetzungsmaßnahmen in Bezug auf diese spezifischen Tätigkeiten oder Dienstleistungen keine Anwendung. Üben die Einrichtungen ausschließlich die in diesem Absatz genannten Tätigkeiten aus oder erbringen sie Dienstleistungen, so können die Mitgliedstaaten beschließen, diese Einrichtungen auch von den in den Artikeln 3 und 27 festgelegten Pflichten zu befreien.
9. Die Absätze 7 und 8 gelten nicht, wenn ein Unternehmen als TreuhanddienstleisterVertrauensdiensteanbieter Bezeichnet eine natürliche oder juristische Person, die einen oder mehrere Vertrauensdienste entweder als qualifizierter oder als nicht qualifizierter Vertrauensdiensteanbieter erbringt - Definition gemäß Artikel 3 Nummer 19 der Verordnung (EU) Nr. 910/2014.
10. Diese Richtlinie gilt nicht für Einrichtungen, die die Mitgliedstaaten gemäß Artikel 2 Absatz 4 der Verordnung (EU) 2022/2554 vom Anwendungsbereich der Verordnung ausgenommen haben.
11. (11) Die in dieser Richtlinie festgelegten Verpflichtungen dürfen nicht zur Folge haben, dass Informationen übermittelt werden, deren Preisgabe den wesentlichen Interessen der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung der Mitgliedstaaten zuwiderlaufen würde.
12. Diese Richtlinie gilt unbeschadet der Verordnung (EU) 2016/679, der Richtlinie 2002/58/EG, der Richtlinien 2011/93/EU und 2013/40/EU des Europäischen Parlaments und des Rates sowie der Richtlinie (EU) 2022/2557.
13. Unbeschadet des Artikels 346 AEUV werden Informationen, die aufgrund von Vorschriften der Union oder der Mitgliedstaaten, wie etwa Vorschriften über das Geschäftsgeheimnis, vertraulich sind, mit der Kommission und anderen zuständigen Behörden im Einklang mit dieser Richtlinie nur ausgetauscht, wenn dieser Austausch für die Anwendung dieser Richtlinie erforderlich ist. Die ausgetauschten Informationen sind auf die Informationen zu beschränken, die für den Zweck dieses Austauschs relevant und angemessen sind. Der Informationsaustausch wahrt die Vertraulichkeit dieser Informationen und schützt die Sicherheits- und Geschäftsinteressen der betroffenen Stellen.
14. Die Einrichtungen, die zuständigen Behörden, die einheitlichen Ansprechpartner und die CSIRTs verarbeiten personenbezogene Daten, soweit dies für die Zwecke dieser Richtlinie und im Einklang mit der Verordnung (EU) 2016/679 erforderlich ist; insbesondere stützt sich diese Verarbeitung auf Artikel 6 der genannten Verordnung.
Die Verarbeitung personenbezogener Daten gemäß dieser Richtlinie durch Betreiber öffentlicher elektronischer Kommunikationsnetze oder Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste erfolgt im Einklang mit dem Datenschutzrecht der Union und dem Unionsrecht zum Schutz der Privatsphäre, insbesondere der Richtlinie 2002/58/EG.